--- tags: 資訊安全文章 --- # 2020 盤點 7 種常見的資訊安全風險，看看你犯了哪些??  在2020的這一年，因為**疫情導致遠距工作**、**教學成為疫後常態**，相對的資安威脅也大大的提升。 然而，許多人始終認為這些都是企業才該重視的問題；或覺得中毒，直接電腦格式化、重新安裝作業系統即可。 但隨著人們對於資訊內容使用的方式改變，當前**手機成為主流使用裝置**，互動模式以線上社群服務為主，駭客發動惡意攻擊也隨之改變。 千萬別以為駭客對一般人個資不感興趣，事實上，有**大量個資內容在網路黑市以高價販售**。 以下盤點 **7 種**日常生活當中常見的資安風險。 ------------------------------------------------ ## 風險一 網路釣魚 Phishing 網路釣魚可是最常見的攻擊手法，網路釣魚時常**搭上熱門時事話題，如疫情、三倍卷、雙11購物**等等，透過各種**偽裝**，如**釣魚簡訊、釣魚郵件、一頁式網頁**等，企圖**欺騙消費者個資**。 這些手法常以**釣魚郵件**將使用者引導至**偽裝成真實的購物網站、銀行、信用卡公司或網路服務**等合法登入頁面的假網站，藉以**竊取使用者在該網站所輸入的個資**。 > > ------------------------------------------------ ## 風險二 Free Wi-Fi 俗語說「**免費的最貴**」，民眾連接到安全措施不完備的Wi-Fi或是駭客故意架設的假Wi-Fi，如駭客架設與公共Wi-Fi名稱相似的熱點，讓使用者在不知情狀況下登入，以竊取個資。 > ------------------------------------------------ ## 風險三 惡意APP 一般民眾普遍認為手機不會中毒，但目前**非法應用程式已是智慧型手機的主要威脅之一**，在應用程式商店上APP百百種，也有可能有非法的應用程式，駭客會**利用惡意網址或惡意APP盜取手機上重要資料**。 駭客為了逃避Google的防護系統，刻意複製合法APP的功能，並上傳到Play商店。 > ------------------------------------------------ ## 風險四 軟體漏洞 因軟體漏洞而遭受攻擊，**惡意軟體**或**惡意應用程式**會針對**作業系統等安全漏洞**進行攻擊，例如駭客利用瀏覽器漏洞植入病毒，或透過**網路直接攻擊系統漏洞**(WannaCry 勒索病毒) > ------------------------------------------------ ## 風險五 瀏覽被入侵的網站或惡意連結，被導向下載惡意程式 使用者一旦**瀏覽遭受惡意入侵的網站或點擊惡意連結**，**將導致裝置被下載惡意程式，而遭受勒索或重要資訊外洩**。 > 現在Google也很貼心的會告訴使用者目前這個**網站是否被入侵** > ------------------------------------------------ ## 風險六 詐騙訊息 詐騙訊息是非常常見的手法，駭客**透過電話、網站導向、彈出式視窗、釣魚郵件等發送詐騙訊息**。 像在**社群媒體上散播假中獎資訊、假門市活動**等，用來**誘騙使用者點入網路釣魚網站或撥打服務電話**，並**取得受害者個人資料或讓受害者付費**。 > > 此外，**性勒索也是常見詐騙**，例駭客**透過交友軟體或社群加入受害者**，**發送免費觀看成人網站為誘餌的詐騙訊息**，**在受害者點擊後，警告受害者觀看色情影片過程已經被側錄並要求贖金，而手機可能也會因為瀏覽受感染的色情網站面臨被植入勒索軟體**。 ------------------------------------------------ ## 風險七 不安全的 Home Router 或 IoT Device 隨著網路的普及，聯網設備越來越多，除了為生活帶來更大的便利性，也為駭客提供更多的入侵節點。 智慧家庭生活雖便利，但網路潛在資安風險也持續升溫，一旦家中路由器安全性遭破解，駭客可以隨意入侵各式連網裝置，使家中的資訊安全暴露在高風險下，導致智慧連網裝置遭竊聽、誘導至非法網站，使得民眾個資或隱私外洩。 > ------------------------------------------------ # 面對曾出不窮的資安攻擊手法，民眾該如何防範呢? ## 建議一 運用防毒軟體、不要隨意點開連結 這大概是最基本、也是一般人最常使用的方式。 不要隨意點開連結：收到任何連結時，先觀察連結的網址跟真正的官方網址是不是一樣，通常釣魚網站的網址會故意寫的很像真正的網址。 例如我們搜尋資料時常會使用的Google網站，正確的網址是 **www.google.com.tw** ，但釣魚網站可能會仿冒成 **www.go0gle.com.tw** 。 ## 建議二 輸入帳密前再三確認是否為官方網站 遇到任何網址要求輸入帳號密碼或是號稱是「官方」的通知訊息時，請再三確認是否是官方網站，或是直接從官方網站登入查證。 ## 建議三 嚴謹管理自己帳號 防止帳號被不當利用，建議民眾應該要因應不同的服務使用不同的帳號密碼；甚至若是能設定多重認證的話，請務必將此功能打開，可提升帳號安全度。 ## 建議四 更新作業系統或軟體修補更新程式 平時在收到電腦或智慧型手機作業系統（Windows、Mac、iOS 或 Android）和應用程式更新通知時應立刻進行更新，保持最新狀態，避免惡意軟體或惡意應用程式針對作業系統等安全漏洞進行攻擊。 ## 建議五 不要任意安裝APP 在手機等行動裝置安裝各種 App 對一般人來說稀鬆平常，然而，智慧型手機或平板等行動裝置在安裝應用程式時，必須慎重看清是否為非法應用程式再判斷是否安裝，避免在非官方的應用程式商店下載 App。 在安裝應用程式前，可以確認應用程式及開發者的評價、評價數量等。 此外，也要檢查應用程式的許可權限是否被要求輸入不必要的權限內容，常見如「讀取通訊錄的資料」、「讀取當下位置」、「讀取 SD 卡的內容」等，有可能為非法應用程式。 > ## 建議六 沒在使用的支付APP請適時移除 隨著電子支付愈加盛行，常常會為了點數回饋或促銷等活動而下載支付 App，但最後卻不怎麼使用。此舉有可能會有遭到不當利用以及資訊洩露的風險，因此除了刪除上面用來儲值用的信用卡及銀行戶頭，也建議直接移除程式。 ## 建議七 開啟螢幕鎖定 有載入行動支付的裝置，請務必開啟螢幕鎖定的功能，螢幕解鎖方式有帳號密碼、指紋、臉部辨識等的生物辨識系統可以選擇；若是遇到偷竊，遺失等情況，第三者也很難進行不當操作。 ## 建議八 開啟 GPS 跟尋找裝置功能 預防手機被偷或遺失等情況，請開啟「尋找我的 iPhone（iOS）」或「尋找我的裝置（Android OS）」運用連結網路的筆電等裝置就能查明手機的位置。 ## 建議九 在家庭網路閘道端建立保護機制 可以透過路由器的安全設定、變更無線網路名稱（SSID）、使用能夠保護家庭網路的資安產品等方式，防護智慧家庭網路和連網裝置免遭駭客攻擊與隱私外洩風險。 --------------------------------------------------- 綜上所述，可見駭客攻擊手段層出不窮，且智慧型手機普及，現在可說是人手一機，加上2020年新冠病毒疫情影響，更讓許多人必須透過網路聯繫、遠距工作或上課，這也使駭客更容易抓住使用者上網行為輪廓，藉此發動精準攻擊。 總之，病毒攻擊不會只針對企業，個人也要注意，個人端的電腦病毒防護也不容忽視。