【全文】實聯制、遠距上班、網購藏風險 疫情升溫衝擊資安

劉文淵
·10 分鐘 (閱讀時間)
疫情期間,駭客利用實聯制、遠距上班及網購的漏洞竊取個資,衝擊資安。 (東方IC)
疫情期間,駭客利用實聯制、遠距上班及網購的漏洞竊取個資,衝擊資安。 (東方IC)

全台確診武漢肺炎(COVID-19,新冠肺炎)人數激增,為防堵疫情,幾乎所有店家都採實聯制,企業則讓員工分流、遠距上班,各級學校也全面停課,改採視訊教學,民眾減少出門,網購數量跟著爆增。但這些因應疫情的作為卻潛藏資安風險,刑事警察局發現,民間業者推出的實聯制LINE帳號有個資外洩疑慮,資安專家也提醒,在家上班、上課或網購,務必提高帳號密碼及Wi-Fi密碼的強度,電腦及手機定期更新、掃毒,最好將工作與私人電腦分開,才能避免遭受資安危害。

防疫實聯衝衝衝系統有資安疑慮,22日晚間下架、停止服務。(翻攝畫面)
防疫實聯衝衝衝系統有資安疑慮,22日晚間下架、停止服務。(翻攝畫面)

 

5月22日,全台疫情警戒升至第三級的第一個週末,刑事警察局接獲重要情資,由台灣駭客年會成立的漏洞回報平台(HITCON ZeroDay)收到一封警告信,內容是民間科技公司推出的「防疫實聯衝衝衝」LINE官方帳號,隱藏大量個資外洩疑慮。

實聯制注意事項民眾掃描QR Code後,檢查簡訊是否傳送至1922
店家應不定期檢查張貼的QR Code,避免遭有心人更換
不要下載來路不明的實聯制APP或LINE帳號
不要在網路上掃描來路不明的QR Code

民間實聯制 恐洩個資

刑事局科技犯罪防制中心主任林建隆獲報之後,立即透過電子郵件提醒該公司,對方隨即回信表示「處理修補中」,並於當天晚間停止服務,但「防疫實聯衝衝衝」帳號啟用後,已有上百萬人加入好友,目前為止到底有無個資外洩情形、數量如何?尚待了解。

本刊調查,為加強防疫,掌握出入各種場所的人流狀況,政府要求所有店家都要實聯制,但消費者進入不同場域,須重新輸入姓名、電話等個資,十分麻煩,民間科技公司知惠科技於是設計出一套「防疫實聯衝衝衝」整合系統,標榜店家綁定QR Code後,民眾只要輸入一次個資,就可直接掃描QR Code,在綁定的店家通行無阻,該系統卻被發現有資安漏洞,可能使個資外洩。

台灣駭客年會成立的漏洞回報平台,5月22日出現了資安警告。(翻攝畫面)
台灣駭客年會成立的漏洞回報平台,5月22日出現了資安警告。(翻攝畫面)

 

林建隆研判,防疫實聯衝衝衝帳號,雖比政務委員唐鳳設計的簡訊實聯制還早問世,但可能是在將店家實聯制蒐集到的資料回傳公司伺服器時,沒有完整管控,隱藏些許漏洞,才讓駭客可以不經授權,就能取得民眾的個資。

無獨有偶,中央流行疫情指揮中心5月20日也發出警訊,指有不肖人士冒用疾管署名義,成立冒牌社群誘使民眾加入。

掃描QR Code 慎查連結

林建隆提醒,這種民間開發、以某種目的蒐集個資的APP或系統,除非發生詐欺等刑事案件,否則民眾實在不易察覺個資是否外洩,政府過去也鮮少對業者蒐集個資後,是否用於蒐集目的外進行稽核,幾乎只能靠業者自律。

依《個人資料保護法》規定,各場域蒐集的個資,均要指定專人辦理並善盡保護責任,最多存放28天,之後就必須刪除或銷毀。

資安專家提醒民眾,須注意實聯制QR Code隱藏的資安風險。
資安專家提醒民眾,須注意實聯制QR Code隱藏的資安風險。

 

林建隆指出,一般業者蒐集個資,除了處理購物訂單外,會用於後續的廣告行銷,也有不肖人士竊取個資賣給詐騙集團,甚至出現危害國家安全的疑慮,不可不防。

相對防疫實聯衝衝衝藏有漏洞,唐鳳推的簡訊實聯制安全性則沒有問題,但林建隆提醒,店家將QR Code張貼於店門外,務必不定期檢查,以防遭不肖人士更換,民眾掃描及傳送簡訊時也需注意是否真的傳到「1922」,以免連結到高額付費號碼,讓荷包大失血。

行政院政務委員唐鳳設計的「簡訊實聯制」,對疫情管控助益甚大。
行政院政務委員唐鳳設計的「簡訊實聯制」,對疫情管控助益甚大。

 

除了實體店面張貼的QR Code,網路或手機出現的QR Code更可能連結到惡意網站,不可不慎。資安專家Bf Chen指出,操作介面雖簡單也容易暗藏玄機,因智慧型手機有自動顯示預覽連結功能,當簡訊成功發送後,惡意連結將自動轉為網站預覽模式,傳送使用者的裝置資訊,駭客就可輕易取得對方的手機資訊。

公家單位為避免疫情擴大,特別加大等候區的座位距離。
公家單位為避免疫情擴大,特別加大等候區的座位距離。

 

密碼定期換 雙重驗證

疫情升溫下的資安風險,除了實聯制,遠距上班問題也很大。曾發現臉書付款漏洞、刪除臉書創辦人祖克柏貼文、入侵高鐵購票系統,被封為「天才駭客」的張啟元,「洗白」後已投入資安工作,目前是新創資安公司「ZUSO如梭世代」的研究員,他提醒公司行號及一般員工,在家上班千萬注意,因為惡意駭客真的無所不在。

他告訴本刊,許多民間企業、政府機關為避免疫情擴散,要求員工在家上班,但透過家中網路與公司電腦系統連結,須考量很多資安問題,公司端系統伺服器應做好權限控管,如不同部門或不同職階的員工帳號,須事先規範與區別,限制登入的系統及可連線的範圍。

不少公司因應疫情升溫,讓員工分流,在家遠距上班,但隱藏資安風險。
不少公司因應疫情升溫,讓員工分流,在家遠距上班,但隱藏資安風險。

 

為了讓員工在家上班能使用公司內部系統(如ERP)與資源,通常公司會提供虛擬私有網路(Virtual Priavte Netwrok,VPN)服務,讓員工在家登入後,使用如同在辦公室的網路環境,但除了以一般帳號、密碼識別員工身分,也應啟用雙重驗證(Two-Factor Authentication、2FA)機制加強管控。

張啟元建議,員工自行設定帳號、密碼,必須有一定的複雜度,也必須定期更換,最好啟用雙重驗證方式,如簡訊、生物識別等,更重要的是,員工必須遵循公司的資安規範,提高警覺,以維護電腦的安全性,否則,如被植入木馬程式,駭客就可透過被駭電腦的路徑,循著連線侵入公司的伺服器主機,竊取各種資料。

問題郵件多 提高警覺

張啟元強調,企業應該把對外服務、內部業務處理和開發環境的網路有所區隔,依據帳號權限各自管理,並隨時稽核各項異常紀錄,同時建立防火牆規則、漏洞修補、VPN設定及登入時雙重驗證、限制登入裝置及來源IP等,定期更換登入密碼,提醒員工不要使用來路不明的軟體,同時加強對社交郵件的警覺。

曾發現臉書漏洞、被封為「天才駭客」的張啟元,目前投身資安工作,他呼籲民眾設定密碼時,應有相當複雜度,最好啟用雙重驗證。
曾發現臉書漏洞、被封為「天才駭客」的張啟元,目前投身資安工作,他呼籲民眾設定密碼時,應有相當複雜度,最好啟用雙重驗證。

 

「最重要的是把工作與私人電腦分開!」張啟元告訴本刊,因國人對網路不明連結的警覺性很低,加上習慣透過網路追劇或觀看情色網站,都會增加誤中惡意、木馬程式的風險。若能把工作、私人娛樂用的電腦分開,準備專屬連線設備並定期執行掃毒,不使用密碼記憶功能,即可確保網路連線的安全。

張啟元指出,資訊系統最難防禦的是「人的問題」,舉例來說,多數人很容易受到社交攻擊,最常見的就是駭客故意寄問題郵件到使用者的信箱,民眾若毫無警覺,隨意點擊,個人電腦或手機就會被植入病毒或惡意程式,根據他多年的資安工作經驗,員工在家上班因主管無法控管,很多人都不會遵守規則,風險比在公司上班高出許多。

資安專家Bf Chen提醒,電腦、手機最好經常更新,並安裝防毒軟體。
資安專家Bf Chen提醒,電腦、手機最好經常更新,並安裝防毒軟體。

 

Bf Chen也告訴本刊,他曾與不少廠商接觸,發現國內多數廠商雖樂意面對企業系統問題,但很多工程師只會開發,卻不知如何修補漏洞,若能多花點錢投資資安設備及教育訓練,或透過資安公司提供服務,才能在遭受駭客攻擊的第一時間處理善後。

遠距上班、上課注意事項使用公司提供的虛擬私有網路VPN
啟用帳號、密碼、電話簡訊等多重驗證機制
企業應把重要資產主機、一般日常主機分開
員工應將工作電腦與私人電腦分開
提高帳號密碼及Wi-Fi密碼強度
視訊鏡頭及麥克風未使用時,用不透光膠帶或布遮蔽
定期確認家中連網設備、軟體是否為最新版

採線上學習 確認官網

Bf Chen指出,過去台灣製造業都在封閉的網路環境中運作,近年因物聯網時代來臨,封閉式網路環境逐漸轉變為開放性環境,但許多老舊設備沒有更新,仍持續運作,容易成為駭客攻擊勒索的對象,企業必須正視相關問題,否則資安隱憂將持續擴大。

疫情升溫,政府宣布各級學校全面停課,家長也忙著把孩子接回家。
疫情升溫,政府宣布各級學校全面停課,家長也忙著把孩子接回家。

 

除了遠距上班潛藏風險,目前全台各級學校因疫情升溫停止到校,改採視訊遠端上課,也有不少須注意的事項。張啟元建議,老師最好透過教育部或各校提供的線上學習課程教學,學生及家長必須確認登入的網站,是否為學校或教育部的官網,最好使用單一平台上課,不要使用來源不明的連結或網站。

學童在家透過遠距教學系統上課,學習不中斷。
學童在家透過遠距教學系統上課,學習不中斷。

 

張啟元也呼籲學生及家長,保護好登入帳號、密碼,最好設定高強度的密碼組合,並透過密碼管理員等外部隱私工具輔助,避免遭有心人竊取個資。另一方面,師生開啟視訊鏡頭後,可把家中背景虛擬、模糊化處理,視訊鏡頭及麥克風未使用時,最好用不透光膠帶或布遮蔽,定期確認家中連網設備、軟體是否為最新版,家中的Wi-Fi密碼也不要設定得太過簡單。

新北市疫情嚴峻,市府派人在各個傳統市場進行全面消毒。
新北市疫情嚴峻,市府派人在各個傳統市場進行全面消毒。

 

認鎖頭鑰匙 聰明網購

疫情升溫後,多數人不常出門,網路購物因此大爆發。ZUSO如梭世代創辦人IK Hung提醒,消費者最好透過有使用安全措施的電商平台購物,至於要怎麼辨認?最簡單的方式是在瀏覽畫面檢查有無「鎖頭」或「鑰匙」的圖標,如果有,代表業者採用安全傳輸層(SSL)技術,會將消費者的資料先行加密,再傳至電商平台。

全台疫情大爆發,以往人潮眾多的台北市信義商圈最近十分冷清。
全台疫情大爆發,以往人潮眾多的台北市信義商圈最近十分冷清。

 

IK Hung呼籲消費者,不要與他人共用帳號,密碼也不要設定得太簡單;另一方面,常有不肖人士假冒購物平台寄送廣告或訂單至消費者信箱,這些信件多半被歸類於垃圾郵件,信件中往往暗藏惡意程式連結,經常與官方網站的英文字串網址類似,消費者若沒警覺就點擊,會被植入後門程式,伺機竊取個資,所以點擊任何連結前,一定要再三確認英文字串與官網是否完全一致。

「科技始終來自於人性!」IK Hung說,疫情升溫下的台灣,各行各業無不繃緊神經,大家都怕成為防疫破口,但人性都有瑕疵,現階段企業實施分流,也是駭客攻擊最猖獗的時刻,可能利用民眾在家工作、資安防範薄弱,伺機竊取公司或客戶的機敏資料,或利用民眾頻繁使用網路的機會,透過發布疫情資訊等連結詐騙個資,一定要提高警覺。

科技大廠員工遠距上班,工作用、私人用電腦分流很重要。(台積電提供)
科技大廠員工遠距上班,工作用、私人用電腦分流很重要。(台積電提供)

 

除了家用電腦、筆電應經常更新,大家最常使用的手機,最好也要安裝防毒軟體,如未加裝,手機程式該更新就更新,不要怕速度變慢而不更新,另一方面,千萬不要「借用」住家隔壁沒有加密的Wi-Fi,因為資料是明碼傳輸,如果剛好有駭客在同一個無線環境,相關資料就有洩漏風險,不可不防。

網購注意事項在瀏覽器畫面中,檢查有無「鎖頭」或「鑰匙」圖標
避免與他人共用帳號,密碼設定也不要過於簡單
點擊郵件連結時,確認網址的英文字串與官網完全一致
不要點擊或下載來路不明的電子郵件或程式

更多鏡週刊報導
【全文】疫情嚴守邊境 租33豪宅契作 大麻王自產自銷加盟販毒
【全文】從蛋黃區買到蛋殼區 建商高價搶地掀大戰
【全文】拚疫情警戒降級 抗疫急補確診空窗3破囗

◤居家上課工作必備◢
👉辦公3C設備下殺中 入手遊戲不無聊
👉親子防疫作戰 小孩在家不吵鬧靠這些
👉不出門更安心!一站購足防疫需求品

更多生活相關新聞
降雨熱區再擴大!雨量圖驚現「彰化之眼」 劇烈天氣伴隨來襲
怕尪工作染疫 人妻提2選擇引網怒
壽山動物園休園 明年10月迎客
買菜怎避免病毒帶回家?醫提9建議
公園吃飯遭大媽怒譙 外送員曝心聲

今日推薦影音