Loading [MathJax]/extensions/tex2jax.js

1

20
4

文字

分享

1
20
4

大資訊時代也是大駭客時代!——你該認識的駭客新興手法

科技大觀園_96
・2022/01/21 ・2496字 ・閱讀時間約 5 分鐘

正在瀏覽這篇文章的你,很可能正被看不見的腥風血雨所籠罩——這不是危言聳聽,因為第三次世界大戰的戰場,極有可能就發生在網路上。網路與數位化的浪潮勢不可擋,面對資安環境高速變遷帶來的新興風險,我們又該如何自保防身?來聽聽資安專家——中山大學資訊管理系陳嘉玫教授怎麽說!

方便與安全,兩者不可兼得也

註冊或登入會員、設定和輸入密碼、提供各種個資如網頁瀏覽記錄,來換取和生活大小事離不了關係的線上服務,已經是數位原住民的日常。而在高度依賴網路、講求高效率的今日,我們都希望電腦軟體和手機 APP 的使用能越方便越好,但一味追求便捷,卻可能讓自己露出資安破綻,叫不法分子有機可乘。

陳嘉玫
陳嘉玫教授。圖/中山大學管理學系

「越安全的東西,越不方便使用。」陳嘉玫教授指出,安全與方便自古兩難全,如何找到兩者之間的平衡就是關鍵。

資工系出身、喜歡寫程式的陳教授,曾在美國花旗銀行全球資訊網路研究總部擔任要職。該企業内部一切開發需求重視安全遠勝於方便的嚴謹文化,成為她日後投身資安領域的契機。

客制化誘餌與駭客聯盟,讓威脅更升級

科技的進步,也見證駭客攻擊手法的進化錄。研究網路安全多年的陳教授指出,每個時期的使用者都有不同的使用習慣,從早期的電子郵件,到現在的臉書和 Line 群組,都是心懷不軌者潛伏之處。他們長期觀察和收集目標攻擊對象相關資訊、和刺探目標網路,利用人性的弱點,客製化各種引人上鈎的「誘餌」,來獲得他們想要的機密資訊。這就是網路犯罪最常見的社交工程(Social engineering)攻擊和釣魚式攻擊。

-----廣告,請繼續往下閱讀-----
社交軟體
駭客會利用社交軟體散播許多客製化的釣魚攻擊。圖/pixabay

過去駭客都單打獨鬥,但現在也出現分工明確、系統化的「駭客聯盟」。目前的攻擊趨勢,也演變成更危險的進階持續性威脅攻擊(Advanced Persistent Threats,簡稱 APT)。APT 是針對一個特定組織,長期滲透、客製化且多階段的網路攻擊。為了全方面瞭解目標攻擊對象、擬定有效戰略,駭客除了進行技術面的研究,會對目標組織做身家調查,包括員工名單、財務狀況、社交活動、社群網路留言。APT 棘手之處在於,如果一個戰術行不通,駭客會持之以恆,不斷嘗試直到找出破口。

「韓國黑暗日」(Dark Korea),就是著名的 APT 攻擊事件之一。這場韓國史上最大駭客攻擊,推論是由北韓主導,至少歷經八個月的精心策劃。駭客偷渡惡意程式到多家電視媒體與金融服務的電腦與伺服器,進行破壞性攻擊,造成各項服務停擺多日,韓國將這次攻擊視為國家級的戰爭行為。

如今「資訊即權力」當道,國家勢力著手培養駭客已不是新聞,不少國家也紛紛成立不需要一槍一彈的「第四軍種」——資通電軍 (俗稱網軍)。比起傳統軍武,發起資訊戰,無需花費一槍一彈,卻對社會經濟產業造成極大的衝擊。

資通電軍
許多國家成立資通電軍來發起或是抵禦資訊戰。圖/pixabay

零時差漏洞,得之可得天下?

提到駭客攻擊,就不得不談談號稱可一秒癱瘓世界的零時差漏洞(zero-day vulnerability)。零時差漏洞是可謂資安界最害怕的威脅,是指當漏洞被發現,而軟體開發商尚未發布修補程式 (patch) 之前,在這段時間,任何使用該軟體的主機,都有此安全漏洞,都有可能遭受駭客攻擊。

-----廣告,請繼續往下閱讀-----

不過,要取得零時差漏洞也非易事。陳教授以武俠小説作比喻,零時差漏洞就像壓箱底的最後法寶,除非遇到最難纏的對手,否則駭客也不會輕易使出這一殺手鐧。這些高利用價值的漏洞,在黑市可是千金難換。一個小小的零時差漏可能掌握著一國民生基礎架構的命脈,是要挾國安的重要籌碼,可得也可毀滅天下。

為了避免讓自身弱點落入他人手中,很多公司重金懸賞發現該公司產品的安全漏洞的駭客。而就像江湖上同時存在邪道與正派,除了進行不法勾當、謀取利益的黑帽(Black Hat)駭客,也有著用意良善的白帽(White Hat)駭客。這個典故源自美國西部電影中,正派戴著白帽,而反派往往著黑帽的形象。

白帽駭客維護精益求精的駭客文化,以「提升安全性」為目的,挖掘程式漏洞,提供開發商漏洞資訊,以改善該系統的安全性,稱得上是駭客武林中的俠義心腸的一群。

駭客
駭客也可以區分為以不法途徑牟取利益的黑帽駭客,與幫助開發商提升安全性的白帽駭客。

守護資安,人人有責

雖然武俠故事的鎂光燈往往都聚焦在少數幾個武林高手身上,但江湖其實更大部分是由你我這樣平凡老百姓組成。陳教授坦言,很多人誤以為資安都是 IT(Information Technology)或 MI((Manager Information System)部門的責任,但守護資安,應是所有使用者的責任。

-----廣告,請繼續往下閱讀-----

「資安其實就是攻與防。知己知彼,才能百戰百勝。」

陳教授一再強調,要打造良好的資安環境,從小教育年輕一代正確使用手機、電腦等電子設備的資安知識,才是最有效的方式。根據調查,管理層級的主管越重視資安,透過資安教育訓練和宣導提高員工資安意識,才能在組織中形塑健全的資安文化。

除了管理好個人資訊和帳號密碼外,在上網時多存一份疑問,才能在第一時間發現不對勁、主動通報,越資訊化的時代,我們也越沒有隱私,駭客攻擊防不勝防。因此在江湖上行走時,常常更新資安資訊,隨時保持警惕,是避免遭受攻擊的不二法門。

-----廣告,請繼續往下閱讀-----
文章難易度
所有討論 1
科技大觀園_96
82 篇文章 ・ 1126 位粉絲
為妥善保存多年來此類科普活動產出的成果,並使一般大眾能透過網際網路分享科普資源,科技部於2007年完成「科技大觀園」科普網站的建置,並於2008年1月正式上線營運。 「科技大觀園」網站為一數位整合平台,累積了大量的科普影音、科技新知、科普文章、科普演講及各類科普活動訊息,期使科學能扎根於每個人的生活與文化中。

0

1
0

文字

分享

0
1
0
當心網路陷阱!從媒體識讀、防詐騙到個資保護的安全守則
鳥苷三磷酸 (PanSci Promo)_96
・2024/12/17 ・3006字 ・閱讀時間約 6 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國家通訊傳播委員會 委託,泛科學企劃執行。 

網路已成為現代人生活中不可或缺的一部分,可伴隨著便利而來的,還有層出不窮的風險與威脅。從充斥網路的惡假害訊息,到日益精進的詐騙手法,再到個人隱私的安全隱憂,這些都是我們每天必須面對的潛在危機。2023 年網路購物詐欺案件達 4,600 起,較前一年多出 41%。這樣的數據背後,正反映出我們對網路安全意識的迫切需求⋯⋯

「第一手快訊」背後的騙局真相

在深入探討網路世界的風險之前,我們必須先理解「錯誤訊息」和「假訊息」的本質差異。錯誤訊息通常源於時效性考量下的查證不足或作業疏漏,屬於非刻意造假的不實資訊。相較之下,假訊息則帶有「惡、假、害」的特性,是出於惡意、虛偽假造且意圖造成危害的資訊。

2018 年的關西機場事件就是一個鮮明的例子。當時,燕子颱風重創日本關西機場,數千旅客受困其中。中國媒體隨即大肆宣傳他們的大使館如何派車前往營救中國旅客,這則未經證實的消息從微博開始蔓延,很快就擴散到各個內容農場。更令人遺憾的是,這則假訊息最終導致當時的外交部駐大阪辦事處處長蘇啟誠,因不堪輿論壓力而選擇結束生命。

-----廣告,請繼續往下閱讀-----

同年,另一則「5G 會抑制人體免疫系統」的不實訊息在網路上廣為流傳。這則訊息聲稱 5G 技術會影響人體免疫力、導致更容易感染疾病。儘管科學家多次出面澄清這完全是毫無根據的說法,但仍有許多人選擇相信並持續轉發。類似的例子還有 2018 年 2 月底 3 月初,因量販業者不當行銷與造謠漲價,加上媒體跟進報導,而導致民眾瘋狂搶購衛生紙的「安屎之亂」。這些案例都說明了假訊息對社會秩序的巨大衝擊。

提升媒體識讀能力,對抗錯假訊息

面對如此猖獗的假訊息,我們首要之務就是提升媒體識讀能力。每當接觸到訊息時,都應先評估發布該消息的媒體背景,包括其成立時間、背後所有者以及過往的報導記錄。知名度高、歷史悠久的主流媒體通常較為可靠,但仍然不能完全放下戒心。如果某則消息只出現在不知名的網站或社群媒體帳號上,而主流媒體卻未有相關報導,就更要多加留意了。

提升媒體識讀能力,檢視媒體背景,警惕來源不明的訊息。圖/envato

在實際的資訊查證過程中,我們還需要特別關注作者的身分背景。一篇可信的報導通常會具名,而且作者往往是該領域的資深記者或專家。我們可以搜索作者的其他作品,了解他們的專業背景和過往信譽。相對地,匿名或難以查證作者背景的文章,就需要更謹慎對待。同時,也要追溯消息的原始來源,確認報導是否明確指出消息從何而來,是一手資料還是二手轉述。留意發布日期也很重要,以免落入被重新包裝的舊聞陷阱。

這優惠好得太誇張?談網路詐騙與個資安全

除了假訊息的威脅,網路詐騙同樣令人憂心。從最基本的網路釣魚到複雜的身分盜用,詐騙手法不斷推陳出新。就拿網路釣魚來說,犯罪者通常會偽裝成合法機構的人員,透過電子郵件、電話或簡訊聯繫目標,企圖誘使當事人提供個人身分、銀行和信用卡詳細資料以及密碼等敏感資訊。這些資訊一旦落入歹徒手中,很可能被用來進行身分盜用和造成經濟損失。

-----廣告,請繼續往下閱讀-----
網路詐騙手法不斷進化,釣魚詐騙便常以偽裝合法機構誘取敏感資訊。圖/envato

資安業者趨勢科技的調查就發現,中國駭客組織「Earth Lusca」在 2023 年 12 月至隔年 1 月期間,利用談論兩岸地緣政治議題的文件,發起了一連串的網路釣魚攻擊。這些看似專業的政治分析文件,實際上是在臺灣總統大選投票日的兩天前才建立的誘餌,目的就是為了竊取資訊,企圖影響國家的政治情勢。

網路詐騙還有一些更常見的特徵。首先是那些好到令人難以置信的優惠,像是「中獎得到 iPhone 或其他奢侈品」的訊息。其次是製造緊迫感,這是詐騙集團最常用的策略之一,他們會要求受害者必須在極短時間內作出回應。此外,不尋常的寄件者與可疑的附件也都是警訊,一不小心可能就會點到含有勒索軟體或其他惡意程式的連結。

在個人隱私保護方面,社群媒體的普及更是帶來了新的挑戰。2020 年,一個發生在澳洲的案例就很具有警示意義。當時的澳洲前總理艾伯特在 Instagram 上分享了自己的登機證照片,結果一位網路安全服務公司主管僅憑這張圖片,就成功取得了艾伯特的電話與護照號碼等個人資料。雖然這位駭客最終選擇善意提醒而非惡意使用這些資訊,但這個事件仍然引發了對於在社群媒體上分享個人資訊安全性的廣泛討論。

安全防護一把罩!更新裝置、慎用 Wi-Fi、強化密碼管理

為了確保網路使用的安全,我們必須建立完整的防護網。首先是確保裝置和軟體都及時更新到最新版本,包括作業系統、瀏覽器、外掛程式和各類應用程式等。許多網路攻擊都是利用系統或軟體的既有弱點入侵,而這些更新往往包含了對已知安全漏洞的修補。

-----廣告,請繼續往下閱讀-----

在使用公共 Wi-Fi 時也要特別當心。許多公共 Wi-Fi 缺乏適當的加密和身分驗證機制,讓不法分子有機可乘,能夠輕易地攔截使用者的網路流量,竊取帳號密碼、信用卡資訊等敏感數據。因此,在咖啡廳、機場、車站等公共場所,都應該避免使用不明的免費 Wi-Fi 處理重要事務或進行線上購物。如果必須連上公用 Wi-Fi,也要記得停用裝置的檔案共享功能。

使用公共 Wi-Fi 時,避免處理敏感事務,因可能存在數據被攔截與盜取的風險。圖/envato

密碼管理同樣至關重要。我們應該為不同的帳戶設置獨特且具有高強度的密碼,結合大小寫字母、數字和符號,創造出難以被猜測的組合。密碼長度通常建議在 8~12 個字元之間,且要避免使用個人資訊相關的詞彙,如姓名、生日或電話號碼。定期更換密碼也是必要的,建議每 3~6 個月更換一次。研究顯示,在網路犯罪的受害者中,高達八成的案例都與密碼強度不足有關。

最後,我們還要特別注意社群媒體上的隱私設定。許多人在初次設定後就不再關心,但實際上我們都必須定期檢查並調整這些設定,確保自己清楚瞭解「誰可以查看你的貼文」。同時,也要謹慎管理好友名單,適時移除一些不再聯繫或根本不認識的人。在安裝新的應用程式時,也要仔細審視其要求的權限,只給予必要的存取權限。

提升網路安全基於習慣培養。辨識假訊息的特徵、防範詐騙的警覺心、保護個人隱私的方法⋯⋯每一個環節都不容忽視。唯有這樣,我們才能在享受網路帶來便利的同時,也確保自身的安全!

-----廣告,請繼續往下閱讀-----

討論功能關閉中。

鳥苷三磷酸 (PanSci Promo)_96
225 篇文章 ・ 314 位粉絲
充滿能量的泛科學品牌合作帳號!相關行銷合作請洽:contact@pansci.asia

0

1
0

文字

分享

0
1
0
解密 Wi-Fi、WLAN、802.11:網路通信的差異與演進
數感實驗室_96
・2024/06/21 ・774字 ・閱讀時間約 1 分鐘

本文由 國立臺灣師範大學 委託,泛科學企劃執行。 

在現代社會,如果我們到咖啡廳或其他公共場所,打開筆電坐下來後,通常的第一句話都是「請問這裡有 Wi-Fi 嗎?」。

沒除了 4G、5G 行動通信以外,Wi-Fi 是我們日常生活中常用的上網方式。那麼,Wi-Fi 到底有什麼特點呢?

首先,來解釋一下幾個常見的名詞:Wi-Fi、WLAN、802.11。

-----廣告,請繼續往下閱讀-----

你或許都聽過這些詞,特別是 Wi-Fi,但它們之間有什麼差別呢?

LAN 是 Local Area Network,區域網路的意思。通常指的是像一間網咖這樣的範圍。而 WLAN 就是 Wireless LAN,無線區域網路,這是現在的主流用法。而 802.11,則是專門針對區域網路中無線部分的技術標準。而 Wi-Fi 呢,則可以看作是 802.11 這個技術標準的口語化說法。而 Wi-Fi 的 logo 一黑一白,與太極圖非常相似並非巧合,其 logo 衍生自太極圖,就是想取其相容於任何設備、平台,不管在哪裡都能順利連上網的意象。

有人說 Wi-Fi 在現代已經像空氣、陽光、水和電一樣,成為不可或缺的基本需求。

除了 Wi-Fi 我們還介紹 MIMO 這個關鍵技術,如果對更多技術細節感興趣,或是想聽聽像 Bluetooth 是以國王名字命名的科技小故事,都歡迎在留言告訴我們,期待與你們繼續分享更多有趣的科技知識!

-----廣告,請繼續往下閱讀-----

更多、更完整的內容,歡迎上數感實驗室 Numeracy Lab 的 YouTube 頻道觀看完整影片,並開啟訂閱獲得更多有趣的資訊!

參考資料

-----廣告,請繼續往下閱讀-----

討論功能關閉中。

數感實驗室_96
76 篇文章 ・ 50 位粉絲
數感實驗室的宗旨是讓社會大眾「看見數學」。 數感實驗室於 2016 年 4 月成立 Facebook 粉絲頁,迄今超過 44,000 位粉絲追蹤。每天發布一則數學文章,內容包括介紹數學新知、生活中的數學應用、或是數學和文學、藝術等跨領域結合的議題。 詳見網站:http://numeracy.club/ 粉絲專頁:https://www.facebook.com/pg/numeracylab/

0

1
1

文字

分享

0
1
1
電磁波全揭秘:了解頻帶、頻寬、頻率和通信技術的基礎知識
數感實驗室_96
・2024/06/13 ・672字 ・閱讀時間約 1 分鐘

-----廣告,請繼續往下閱讀-----

本文由 國立臺灣師範大學 委託,泛科學企劃執行。 

先前我們介紹了多位為通信科技發展做出貢獻的科學家。現在,我們要深入探討無線通信的技術層面。

無線通信,顧名思義不像傳統的電話或電報那樣需要一條實體的線路來傳遞信號。但這些信號並非憑空傳遞,它們依賴的正是電磁波。

電磁波在現代社會無處不在,從微波爐、手機到基地台,這些設備都會發射電磁波。但其實即使沒有這些科技裝置,電磁波依然存在於我們周圍。什麼意思呢?答案就是:當我們白天走到戶外,看到的光,它其實也是電磁波的一種。

-----廣告,請繼續往下閱讀-----

希望大家掌握了這些電磁波、頻帶、頻寬等基礎知識後,未來在閱讀相關的電信新聞時更加了解他們提到的術語,以及各種縮寫。以後無論是科技發展的動態還是市場新技術,都能更有概念地理解。

更多、更完整的內容,歡迎上數感實驗室 Numeracy Lab 的 YouTube 頻道觀看完整影片,並開啟訂閱獲得更多有趣的資訊!

-----廣告,請繼續往下閱讀-----

討論功能關閉中。

數感實驗室_96
76 篇文章 ・ 50 位粉絲
數感實驗室的宗旨是讓社會大眾「看見數學」。 數感實驗室於 2016 年 4 月成立 Facebook 粉絲頁,迄今超過 44,000 位粉絲追蹤。每天發布一則數學文章,內容包括介紹數學新知、生活中的數學應用、或是數學和文學、藝術等跨領域結合的議題。 詳見網站:http://numeracy.club/ 粉絲專頁:https://www.facebook.com/pg/numeracylab/