駭客假冒蘋果的名義寄出的網釣郵件。

圖片來源: 

趨勢科技

歐盟即將於5月25日實施的《歐盟通用資料保護規則》(GDPR)除了讓眾多業者戰戰兢兢之外,也成為駭客的利器,趨勢科技於上周指出,駭客在GDRP的前夕發動大規模的網釣活動,透過電子郵件竊取使用者的個資與憑證。迄今已知的受害者包括蘋果用戶與Airbnb用戶。

GDPR嚴格要求企業蒐集、處理或使用個資時都必須徵求使用者的同意,並規定不管企業規模大小都必須設置資料保護長,也應允許用戶有自由搬動個資的權利,也有權反對自己的個資被剖析或處理,並針對違反規定的企業祭出高額罰款,這讓不少企業都在GDPR上路之前變更隱私或使用條款,並以郵件通知用戶,也成為駭客的最佳媒介。

趨勢在今年4月底的時候偵測到一起新的Apple ID網釣詐騙活動,駭客寄出電子郵件要求Apple ID用戶提供詳細的個人資訊,否則就要暫停服務。當駭客取得用戶的Apple ID與密碼後,就能存取連結該帳號的所有應用。

此外,另一資安業者Redscan也在今年5月初發現一起與GDPR有關的網釣活動,那是針對旅遊網站Airbnb的房東所發出的郵件,宣稱因為採用了新的隱私政策而導致房東無法接受用戶的訂單,要求房東接受新政策,之後房東即會被導至駭客所操縱的網站,並輸入自己的憑證與金融卡資訊,接著駭客就在黑市販賣所蒐集而來的個人資料。

Airbnb則澄清,該站的確寄出電子郵件予用戶,但並未要求用戶輸入憑證,而只需要他們同意新的服務條款。

這兩起事件都在提醒所有的網路用戶都應該特別小心近日的GDPR信件可能包藏禍心。


Advertisement

更多 iThome相關內容