駭客攻防戰

駭客攻防戰

講者/孫宏民(清大資訊系統與應用所所長)│彙整/《科學人》編輯團隊
轉載自2018.01.14〈科創講堂.ICT資通訊科技〉

駭客手法

駭客會使用的手段很多,其一是社交工程。例如,他們會佯裝資訊人員、銀行人員、委外廠商或上級單位,藉機騙取帳號密碼。他們也可能藉由偽裝的工具檔案、圖片,或電子郵件夾檔,讓使用者點擊後安裝惡意程式碼,藉此監控你的一舉一動,趁你登入網站時竊取帳號密碼。此外,他們也會利用即時通訊軟體(如MSN或Line)佯裝成你的親友,誘騙你點選訊息中的惡意連結。

社交工程就是利用人性弱點來騙取機敏資料,有效預防方法如下:不未經確認即提供資料、不開啟來路不明的連結或檔案、不登入未經確認的網站、不下載非法軟體或檔案。

關於個資隱私,在2012年,台灣開始實施個人資料保護法,企業不得外洩個人資料,違者罰款,且可能有刑事責任。

但個資外洩在全世界都非常頻繁。例如在2012年,Dropbox有6800多萬筆帳密外洩,Yahoo在2013年承認有30億帳號與密碼被駭。在個資隱私經常遭受威脅的今天,我們如何自保呢?孫宏民建議:不使用弱密碼、不使用單一密碼、定期更換密碼、使用兩階段認證。

2017年5月12日,全球有幾十萬台電腦中了加密勒索軟體的毒,台灣成為重災區,讓國人記憶猶新。駭客利用作業系統的漏洞,入侵企業或個人電腦,進行檔案加密之後要求受害者付出比特幣當贖金。駭客精明之處在於,發動攻擊前先買了大量比特幣,這樣不僅能收到比特幣,事後還能以高價賣出,雙重獲利。

勒索軟體感染有很多途徑,即使你不做任何事也可能受到攻擊,有效防禦除了不隨便點連結,不隨便下載檔案之外,記得定期更新系統、軟體,以及備份資料。中了勒索軟體也要保持冷靜,因為有些勒索軟體即使支付贖金也拿不回資料。

新的威脅:物聯網安全

現在物聯網興起,任何連上網路的裝置都可能遭駭客覬覦,物聯網安全遂成為最新的資安課題。之前就有條新聞:台灣有上百支監視器畫面外流,全球直播看光光。

面對這樣的威脅,我們應做好預防措施:不使用來路不明的裝置、定期更新韌體、不直接連網,使用內網保護、不使用沒登入機制的裝置,以及不使用預設的帳號密碼。

研究資安,必須知己知彼、能攻能守,孫宏民主持的研究室就研發出破解勒索軟體的辦法,他也透過影片示範如何假冒GPS訊號(GPS spoofing)。孫宏民開玩笑地說,假冒GPS除了可以拿來玩寶可夢(到異地抓怪),對Amazon正在發展的無人機(drone)送貨也是項威脅。可見駭客攻防是一場必須與時俱進的戰爭。

(本文由教育部補助「AI報報─AI科普推廣計畫」取得網路轉載授權)

(Visited 1 times, 1 visits today)
views