圖片來源: 

刑事警察局偵九大隊

個人雲端帳戶安全問題時有所聞,密碼設定不當再成焦點。上周警方偵破一起網路犯罪事件,是藉由猜出用戶雲端帳號密碼,進而盜領網路銀行帳戶下的存款。

今年7月,刑事警察局接獲銀行及數名被害人報案,銀行帳戶存款遭盜轉一空,損失達數百萬元。根據調查,猜出帳號密碼的該犯罪集團,先從普遍民眾使用的Google帳戶下手,以暴力破解方式,他們利用許多民眾以電話號碼作為網路帳戶密碼的習慣,嘗試登入Google帳戶,再從被害人的Gmail或雲端硬碟,找出金融往來資料、密碼,以及身分證件等資訊。

接下來,犯罪集團成員假冒被害人,撥打電話給銀行客服,以變更存戶聯絡電話,也就是改成犯罪集團持用的人頭電話號碼。

之後犯罪集團開始進行網路銀行盜轉動作,先登入被害人網路銀行,並從人頭電話接收動態密碼,再將帳戶存款轉至另一人頭帳戶,最後由車手將人頭帳戶內的錢提領出。

由於這類網路銀行盜轉,已經嚴重影響國內金融交易秩序,刑事警察局偵九大隊在近兩個月的調查下,於掌握情資後,與臺北市、桃園市、臺中市等警察局共同執行搜索、拘提行動,於9月5日公告偵破這個犯罪集團。同時向民眾呼籲,Google等帳號已成為民眾的重要數位資產之一,他們建議:(一)勿設定易於猜解的帳號密碼。(二)也不要將個人資訊、密碼及私密檔案存放雲端,避免因帳號遭人破解後,取得相關資料用於詐騙或其他非法用途。(三)民眾若是發現銀行帳戶存款有遭盜領的異常情形,請向申設銀行反應及報案。

後續,我們向刑事局確認此事件,因為Google帳戶本身有提供兩步驟認證,不該如此容易被猜出密碼而登入。刑事警察局偵九大隊隊長陳詰昌表示,這些受害者並沒有開啟兩步驟認證,當有新裝置登入自己的帳號的通知也被刪除。

不應直接以容易被猜出的自身個資作為密碼,千萬別輕忽主要電子郵件帳號外洩的嚴重性

在這起事件中,其實突顯了用戶在使用這類雲端服務的問題,包括密碼設定不夠安全,輕忽主要電子郵件帳號外洩嚴重性,以及兩步驟認證未開啟。

面對這樣的資安問題,民眾應該警惕,密碼的設定方式,不要直接以電話號碼等容易猜到的資訊,或是太多人使用的弱密碼,如123456、12345678等,作為密碼使用。用戶必須注意,方便與危機僅一線之隔。

由於過去個人資料保護不足,許多個資可能早已經被竊取。另一方面,雲端服務應用普遍,許多民眾意識不足,常為了方便記憶而使用自己的個人資訊作為密碼,例如生日、電話號碼、學號、身分證號,甚至是常用帳號名稱。這也讓網路犯罪分子有機可趁,只要試著利用這些個人資訊,就有很大的機率猜到密碼。

另外,使用者要注意「撞庫」攻擊的手法,也就是網路犯罪者利用網路上已經外洩的使用者帳號和密碼,嘗試登入在其他網站或平臺,看看能否登入成功並獲得有用的資訊。因此,在不同網站註冊時,最好不要使用同樣的密碼,雖然,這種方式在實務上會增加記憶的困難度,但總比帳戶遭人破解來得安全。簡單一點,重要網站註冊與一般網站註冊的帳號密碼,最好有所區隔,限縮外洩管道。

更重要的是,用戶可能輕忽主要電子郵件信箱帳密外洩的風險,這裡面不僅存放許多個人資訊與資料,同時也包含個人往來的銀行、服務等資訊,當用戶其他雲端服務註冊的帳戶忘記密碼,要重新驗證時,個人主要雲端郵件信箱通常也是接收認證碼的管道,因此,一旦主要電子郵件信箱密碼遭駭,可能導致其他平臺的帳號也被竊取。

過去,在一些資安議程上,我們也曾聽過專家舉例,關於身分證遺失,與電子郵件信箱帳密外洩相比,何者比較嚴重?一般人可能輕忽了郵件帳號遭入侵,所衍生出的各式風險。

另一方面,像是Google等雲端服務都提供兩步驟認證,若是他人獲得你的帳戶密碼時,在不同裝置或IP登入時,會要求以手機等方式獲取驗證碼,來確保登入者為本人,這是現在用戶對於帳戶安全,應該要重視的部分,才能多一層保障。當然,在兩步驟認證的機制下,用戶同時也要注意的是手機的安全與防護。此外,對於當有新裝置登入自己的帳號的通知,用戶自己也必須特別留意。

刑事警察局偵查第九大隊偵破的這起網路銀行盜轉集團案,在查獲贓證物當中,也包含了犯罪分子不法取得的詐騙用個資,用來猜出用戶Google帳戶密碼。(圖片來源:刑事警察局偵九大隊)


Advertisement

更多 iThome相關內容