比监视器更可怕谁在偷看你的个资

网络7年前 (2019-01-31)生活与健康1657

刚刚才搜寻飞往南韩的机票，没过多久，Facebook便出现南韩住宿广告；刚走进连锁品牌买了一双新鞋，才过一会，滑Instagram就看到该品牌广告，令人好奇，为什么它们那么懂你？

好友传来好康讯息，只要在贴文下留言、分享，就能获得免费咖啡券。几天后才知道，这个好康讯息是假的，在贴文下方互动，个资就被有心人士窃取。

随着"滑世代"来临，智慧手机让生活更加便利，但在此同时，个人资讯在网路上的流动更为快速、生活细节更加赤裸，有心人士更多出许多管道能窃取消费者个资。

当生活已离不开智慧手机，我们该怎么做，才能避免手机使用情形被追踪，并预防个资落入有心人士手中？

你的一举一动都是宝贵个资

不只在手机上滑网页、逛网拍会透露使用习惯，有时候走进实体店面消费，这些社交软体彷彿有"特异功能"，没过多久就投放相关产品的广告到消费者眼前。仔细检视，位置资讯、在店家消费时填写的会员资料、刷的QRcode，都可能是平台商掌握你的依据。

以FB为例，熟悉社群操作的QSearch共同创办人暨商务总监蔡汶成指出，为提供使用者打卡功能，脸书会询问使用者是否同意授权脸书取得位置资讯的权限，只要在购物过程中使用APP、打卡，位置资讯就会被蒐集，可以依照使用者所在地推荐周围店家的消费资讯。

会员资料也可能是让社群软体得知使用者消费行为的管道。若使用者在申请某家商店的会员资格时，使用的e-mail等相关资料与社群软体连动，对社群软体而言，也是一笔更了解使用者的珍贵资讯。

每个用户在使用脸书时都会留下很多行为，这些行为都可以被纪录

— QSearch共同创办人暨商务总监蔡汶成

蔡汶成表示，以FB来说，不论是点击的贴文、好友名单，或是曾在脸书搜寻的字词和姓名，都会被纪录，脸书再对这些资料进行使用行为分析，使用者每做一件事，都像被贴上一个新的"标签"，这些标签能让广告商投放广告时更精准。

台湾人爱用的FB去年接连爆出个资外流、恣意分享给第三方等负面新闻，蔡汶成指出，一般来说FB不会未经用户同意，恣意将用户资料贩卖给广告商，"FB在贩卖的不是个资本身，而是媒合机制。"

蔡汶成表示，FB记录使用者的每个行为、个人资料，广告商得依赖这些资料来在社群上投放广告，"FB不会傻到把资料都提供给别人，因为它就是要让你上来买广告。"广告商投放广告都得透过FB平台，过程中并不会得知个别使用者e-mail、手机号码等识别化个资。

不过蔡汶成提醒，使用者需小心透过FB使用其他应用程式时，下意识同意授权资料给其余应用程式。因FB并未设计严谨门槛来挡此类应用程式取得授权，例如先前引发争议的测验游戏Vonvon、OMG等，都在使用者不知不觉中取得大量个资。

隐私和数位经济发展常位于天秤两端

— KPMG安侯企管副总经理谢昀泽

谢昀泽表示，个资在应用程式（APP）间互通的情形常引发争议，不过若过度强调隐私，商家则无法利用取得的数位资讯，为消费者带来更大价值。以记帐APP为例，消费者目前得一笔一笔输入记帐资讯，但许多消费者现已用电子支付、行动支付消费，若记帐APP能与支付APP相连，交易资料便能直接转移到记帐APP，活用消费者的数位资料。

网路无国界骇客的手法与时俱进

当在各个APP里流通的个人资讯量愈来愈大，这些手机APP俨然成为骇客眼中的肥羊，去年（2018年）FB爆发个资外洩风暴，让FB面临平台创办以来最大危机，个资保护议题备受关注。

《联合报》采访专家，归纳出在智慧型手机普及的时代，骇客常用的几种新兴手法：

手法一：为什么没有上奇怪的网站，手机也会中毒？

骇客最常透过在APP或网页嵌入恶意程式、恶意广告，取得消费者个资。作业系统是手机最主要的安全防线，除了对手机弱点进行更新，也会对上架的APP实施审查、权限控管等把关措施，若消费者未将手机作业系统及APP更新到最新版本，手机便可能出现安全漏洞，就算只是在滑手机时看到恶意广告、没有刻意点击广告，手机也会中毒。

手法二：陌生人加你好友？其实是要盗你帐号

社交工程是诈骗集团常用的诈骗手法。诈骗集团先透过社群及聊天软体把被害人加入好友或群组，以取得被害人的照片和名字，只要掌握这两项资讯，诈骗集团便能假冒被害人帐号，传送含有钓鱼网址的讯息给被害人好友。

趋势科技资深技术顾问简胜财表示，诈骗集团会利用好康讯息、清凉影片等吸引人的资讯，骗取被害人好友点击讯息中的钓鱼网址，点击网址后，钓鱼网站会进一步要求输入帐号、密码等个资，或得先安装某个恶意程式，若掉入这些陷阱，个资便会流入诈骗集团手中。

手法三：公共WiFi好方便？被骇风险也很高

公共场所的WiFi是常被忽略的资安弱点，由于每个人都可以为自己提供的WiFi命名，骇客因此能轻易假冒咖啡厅、饭店等店家提供的WiFi，甚至还会将假WiFi加密，让消费者更容易卸下心房。

简胜财指出，有心人士会藉由提供假WiFi，取得被害人传输的资料，或透过改掉被害人的网域名称系统（DNS），引导被害人连上钓鱼网站，进而取得被害人个资。

手法四：手机简讯也有风险？骇客掌控银行帐户的最后一步

许多线上交易或网路银行会透过手机简讯传送双重认证码，手机简讯因此也成为骇客的下手目标。

简胜财以国外案例为例，骇客先在被害人电脑植入恶意程式，被害人连上网路银行时，就会被导到骇客建的钓鱼网站，"这个钓鱼网站长得跟网路银行一模一样，你根本看不出来，"钓鱼网站要求被害人输入网路银行的帐号、密码，还指示被害人须在手机安装APP才能进行后续交易，藉此取得被害人的手机双重认证简讯，以完全掌控其银行帐户。

谢昀泽指出，对骇客来说，医疗、财务交易、税务交易以及银行资料均是值钱的资料类型，骇客取得被害人资料后，可以透过恐吓当事人、威胁资料外洩的平台而从中获利。此外，骇客还能进行财务操作，先放空遭骇公司的股票，再发布这间公司资料外洩消息，让公司股价下跌，利用股价价差再赚一笔。

政府推动APP资安检测却难以落实

为强化行动资安防护，避免消费者个资因APP的安全漏洞而流出，经济部工业局已于103年起推动"行动应用APP基本资安规范"，APP开发商能透过基本资安检测，自主改善旗下APP的安全防护能力，但谢昀泽和交通大学资讯工程学系副教授黄俊颖均表示，政府推动的"行动应用APP基本资安自主检测"缺乏强制力。

谢昀泽指出，经济部的APP基本资安检测标准在全世界很先进，却难以真正落实。除了政府推广不足外，也很难要求APP每次改版后，都要再检测一次。

此外，APP基本资安检测也无法检测智慧手机预先安装的APP。谢昀泽表示，一般的APP要使用特定权限时，都须取得用户同意，但一拿到手机就已安装在里面的预载APP，却能在未经用户同意下，取得许多权限，"预载的APP是最大问题，而且你还删不掉。"

黄俊颖表示，目前接受检测的APP多是应主管机关要求，确保政府推出的APP没有问题，但不是每个产业都能强制所属的APP进行检测。

使用智慧手机该注意什么？专家这么说

当智慧手机和APP已成为骇客的攻击目标，而政府又无法强制要求所有APP进行资安检测，我们在使用智慧手机时应怎么做，才能避免被骇客盯上？

《联合报》整理出资安专家提出的智慧手机使用建议：

定期更新手机作业系统和APP，随时防护手机弱点。

只从APP Store和Google Play安装APP。安装APP前，应查看APP所须的权限、用户评价、开发商等资讯。安装APP后，建议将麦克风等平常不会用到的权限关掉。

不要点选、扫描来源不明的讯息、QRcode和e-mail，不明网址可能会激活恶意程式。