在數碼年代密碼外洩令人煩惱,初時看起來好像影響不大,但是當事故發生時往往令人措手不及,以下將會講解攻擊者如何盜取用戶的登入憑證,當然還有如何防範不幸事件發生在自己身上。
木馬盜竊工具
這種隱形間諜一經進入裝置,通常都會無聲無色地活動,潛伏時間越長,越多資料被盜和交到攻擊者手上,當中包括銀行或遊戲的登入密碼。木馬程式能進入電腦或智能手機,通常時由於打開其他人發送來的惡意檔案、下載或複製自外部儲存等引起,謹記所有互聯網上的執行檔都有可能時陷阱。
不過那些看起來非執行檔也需要小心,網絡犯罪份者千方百計去隱藏惡意檔案的真身,改以圖片、影片、加壓檔案或文件等作為偽裝,而且成功率相當高,而且正式的Office文件在某些條件下也能變成陷阱,文件中的惡意腳本能當用戶打開時使用程式的安全漏洞作惡,對付這種威脅,我們建議安裝可靠的保安方案應付。
網絡釣魚
網絡釣魚電郵有很多種形態,但共同目標都是遊說受害者到假網站提交個人登入憑證,透過假訊息,例如銀行帳號被封鎖、早期訂閱優惠、Tinder上陌生人發送過來的連結、甚至是朋友發送的訊息(他們的電郵被騙徒入侵)。最標準的建議是小心檢查連結,部份假網站在網址上會有額外的字符,然而現代網絡犯罪份子可以透過瀏覽器中的瀏覽器攻擊,受害者便看到的假網站便會出現真網址。
瀏覽器攻擊
很多時候,密碼經由瀏覽器或插件的安全漏洞外洩,首先是在特別設計的網站把間諜程式殖入用戶裝置,第二步是用戶自己從偽裝的瀏覽器插件安裝惡意腳本,例如當用戶前往銀行網站,該腳本便會把所有流量重新導向至黑客的proxy server,從而盜取受害者的登入憑證。
公共Wi-Fi
攻擊者也會在未經加密或舊式WEP防護Wi-Fi網絡中截取資料(包括密碼),有時候黑客甚至會設定公共的Wi-Fi熱點,然後設定與現存的網絡相似的名稱(可能是附近的咖啡店、酒店或商場),大意的用戶連線到假的熱點,所有互聯網傳輸將會落入網絡犯罪份子手中。
用戶可以小心查看名稱來避免掉入陷阱,避免連線到可疑的網絡,並且關閉自動連線Wi-Fi,透過VPN服務可以令所有傳輸加密,即使數據落入不法之徒手中,也無法得知當中的內容。
隨處亂放密碼
把密碼寫在紙上備忘然後貼在記事本、電腦上等地方,是很多人經常會做的事,然而,只要有人從後路過,就能不費吹灰之力獲得你的密碼,此外,把密碼記錄在電腦或智能電話內的純文字檔,以及儲存在瀏覽器的自動輸入也是相當危險的舉動。
外部洩漏
以下的密碼外洩的原囚都是因為用戶自己,但有時候網絡服務也會成為「出事」的成因,例如網上商店、社交網絡、加密貨幣交易所或其他需要登入驗證的地上,黑客入侵那些網站,取得他們龐大的數據庫時,當中的密碼和個人資料也會一併落入他們手中。更甚者,那些網站的持有人不一定會向受害者報告有遭入侵的情況,這種情況用戶並不知道原來自己的資料正在暗網上販賣。
資料來源:Kaspersky Blog
