刚刚才搜寻飞往南韩的机票,没过多久,Facebook便出现南韩住宿广告;刚走进连锁品牌买了一双新鞋,才过一会,滑Instagram就看到该品牌广告,令人好奇,为什么它们那么懂你?
好友传来好康讯息,只要在贴文下留言、分享,就能获得免费咖啡券。几天后才知道,这个好康讯息是假的,在贴文下方互动,个资就被有心人士窃取。
随着"滑世代"来临,智慧手机让生活更加便利,但在此同时,个人资讯在网路上的流动更为快速、生活细节更加赤裸,有心人士更多出许多管道能窃取消费者个资。
当生活已离不开智慧手机,我们该怎么做,才能避免手机使用情形被追踪,并预防个资落入有心人士手中?
你的一举一动都是宝贵个资
不只在手机上滑网页、逛网拍会透露使用习惯,有时候走进实体店面消费,这些社交软体彷彿有"特异功能",没过多久就投放相关产品的广告到消费者眼前。仔细检视,位置资讯、在店家消费时填写的会员资料、刷的QRcode,都可能是平台商掌握你的依据。
以FB为例,熟悉社群操作的QSearch共同创办人暨商务总监蔡汶成指出,为提供使用者打卡功能,脸书会询问使用者是否同意授权脸书取得位置资讯的权限,只要在购物过程中使用APP、打卡,位置资讯就会被蒐集,可以依照使用者所在地推荐周围店家的消费资讯。
会员资料也可能是让社群软体得知使用者消费行为的管道。若使用者在申请某家商店的会员资格时,使用的e-mail等相关资料与社群软体连动,对社群软体而言,也是一笔更了解使用者的珍贵资讯。
每个用户在使用脸书时都会留下很多行为,这些行为都可以被纪录
— QSearch共同创办人暨商务总监蔡汶成
蔡汶成表示,以FB来说,不论是点击的贴文、好友名单,或是曾在脸书搜寻的字词和姓名,都会被纪录,脸书再对这些资料进行使用行为分析,使用者每做一件事,都像被贴上一个新的"标签",这些标签能让广告商投放广告时更精准。
台湾人爱用的FB去年接连爆出个资外流、恣意分享给第三方等负面新闻,蔡汶成指出,一般来说FB不会未经用户同意,恣意将用户资料贩卖给广告商,"FB在贩卖的不是个资本身,而是媒合机制。"
蔡汶成表示,FB记录使用者的每个行为、个人资料,广告商得依赖这些资料来在社群上投放广告,"FB不会傻到把资料都提供给别人,因为它就是要让你上来买广告。"广告商投放广告都得透过FB平台,过程中并不会得知个别使用者e-mail、手机号码等识别化个资。
不过蔡汶成提醒,使用者需小心透过FB使用其他应用程式时,下意识同意授权资料给其余应用程式。因FB并未设计严谨门槛来挡此类应用程式取得授权,例如先前引发争议的测验游戏Vonvon、OMG等,都在使用者不知不觉中取得大量个资。
隐私和数位经济发展常位于天秤两端
— KPMG安侯企管副总经理谢昀泽
谢昀泽表示,个资在应用程式(APP)间互通的情形常引发争议,不过若过度强调隐私,商家则无法利用取得的数位资讯,为消费者带来更大价值。以记帐APP为例,消费者目前得一笔一笔输入记帐资讯,但许多消费者现已用电子支付、行动支付消费,若记帐APP能与支付APP相连,交易资料便能直接转移到记帐APP,活用消费者的数位资料。
网路无国界骇客的手法与时俱进
当在各个APP里流通的个人资讯量愈来愈大,这些手机APP俨然成为骇客眼中的肥羊,去年(2018年)FB爆发个资外洩风暴,让FB面临平台创办以来最大危机,个资保护议题备受关注。
《联合报》采访专家,归纳出在智慧型手机普及的时代,骇客常用的几种新兴手法:
手法一:为什么没有上奇怪的网站,手机也会中毒?
骇客最常透过在APP或网页嵌入恶意程式、恶意广告,取得消费者个资。作业系统是手机最主要的安全防线,除了对手机弱点进行更新,也会对上架的APP实施审查、权限控管等把关措施,若消费者未将手机作业系统及APP更新到最新版本,手机便可能出现安全漏洞,就算只是在滑手机时看到恶意广告、没有刻意点击广告,手机也会中毒。
手法二:陌生人加你好友?其实是要盗你帐号
社交工程是诈骗集团常用的诈骗手法。诈骗集团先透过社群及聊天软体把被害人加入好友或群组,以取得被害人的照片和名字,只要掌握这两项资讯,诈骗集团便能假冒被害人帐号,传送含有钓鱼网址的讯息给被害人好友。
趋势科技资深技术顾问简胜财表示,诈骗集团会利用好康讯息、清凉影片等吸引人的资讯,骗取被害人好友点击讯息中的钓鱼网址,点击网址后,钓鱼网站会进一步要求输入帐号、密码等个资,或得先安装某个恶意程式,若掉入这些陷阱,个资便会流入诈骗集团手中。
手法三:公共WiFi好方便?被骇风险也很高
公共场所的WiFi是常被忽略的资安弱点,由于每个人都可以为自己提供的WiFi命名,骇客因此能轻易假冒咖啡厅、饭店等店家提供的WiFi,甚至还会将假WiFi加密,让消费者更容易卸下心房。
简胜财指出,有心人士会藉由提供假WiFi,取得被害人传输的资料,或透过改掉被害人的网域名称系统(DNS),引导被害人连上钓鱼网站,进而取得被害人个资。
手法四:手机简讯也有风险?骇客掌控银行帐户的最后一步
许多线上交易或网路银行会透过手机简讯传送双重认证码,手机简讯因此也成为骇客的下手目标。
简胜财以国外案例为例,骇客先在被害人电脑植入恶意程式,被害人连上网路银行时,就会被导到骇客建的钓鱼网站,"这个钓鱼网站长得跟网路银行一模一样,你根本看不出来,"钓鱼网站要求被害人输入网路银行的帐号、密码,还指示被害人须在手机安装APP才能进行后续交易,藉此取得被害人的手机双重认证简讯,以完全掌控其银行帐户。
谢昀泽指出,对骇客来说,医疗、财务交易、税务交易以及银行资料均是值钱的资料类型,骇客取得被害人资料后,可以透过恐吓当事人、威胁资料外洩的平台而从中获利。此外,骇客还能进行财务操作,先放空遭骇公司的股票,再发布这间公司资料外洩消息,让公司股价下跌,利用股价价差再赚一笔。
政府推动APP资安检测却难以落实
为强化行动资安防护,避免消费者个资因APP的安全漏洞而流出,经济部工业局已于103年起推动"行动应用APP基本资安规范",APP开发商能透过基本资安检测,自主改善旗下APP的安全防护能力,但谢昀泽和交通大学资讯工程学系副教授黄俊颖均表示,政府推动的"行动应用APP基本资安自主检测"缺乏强制力。
谢昀泽指出,经济部的APP基本资安检测标准在全世界很先进,却难以真正落实。除了政府推广不足外,也很难要求APP每次改版后,都要再检测一次。
此外,APP基本资安检测也无法检测智慧手机预先安装的APP。谢昀泽表示,一般的APP要使用特定权限时,都须取得用户同意,但一拿到手机就已安装在里面的预载APP,却能在未经用户同意下,取得许多权限,"预载的APP是最大问题,而且你还删不掉。"
黄俊颖表示,目前接受检测的APP多是应主管机关要求,确保政府推出的APP没有问题,但不是每个产业都能强制所属的APP进行检测。
使用智慧手机该注意什么?专家这么说
当智慧手机和APP已成为骇客的攻击目标,而政府又无法强制要求所有APP进行资安检测,我们在使用智慧手机时应怎么做,才能避免被骇客盯上?
《联合报》整理出资安专家提出的智慧手机使用建议:
定期更新手机作业系统和APP,随时防护手机弱点。
只从APP Store和Google Play安装APP。安装APP前,应查看APP所须的权限、用户评价、开发商等资讯。安装APP后,建议将麦克风等平常不会用到的权限关掉。
不要点选、扫描来源不明的讯息、QRcode和e-mail,不明网址可能会激活恶意程式。
若社群网站等服务有提供双重认证安全防护机制,一定要将此安全防护机制开启。
不要使用公共场所的免费WiFi,骇客能轻易仿冒公共WiFi,消费者无从判断连上的是真WiFi还是假WiFi。
资安专家也提醒,即便安装手机防毒软体,也须做到以上几点,并尽量使用防毒软体厂商开发的安全浏览器浏览网页,利用安全浏览器的资料库识别恶意网址,降低个资落入骇客手中的风险。
如您发现有部分资讯内容不显示,请直接复制链接选择浏览器打开,不要使用微信打开。温馨提示:文章内容系作者个人观点,不代表无忧岛网对观点赞同或支持。
版权声明:本文为转载文章,来源于 网络 ,版权归原作者所有,欢迎分享本文,转载请保留出处!
发表评论