在網絡犯罪的世界裡，資訊是達成目的的手段，而這個目的往往是為了牟利。這就是為什麼資訊竊取惡意軟件已成為身分詐欺、帳戶接管和數碼貨幣竊盜的主要驅動因素。但也有許多人，他們大部分的日常生活都在網絡上進行，卻仍能確保自身安全。關鍵在於了解如何有效地管理數碼風險。

以下是你需要了解的重點，以保護你的個人和財務資訊免遭危害。

資訊竊取軟件會竊取哪些資訊？

許多資訊竊取軟件可追溯其源頭至一個「指標性」的惡意軟件：名為 ZeuS 的銀行木馬程式，其設計目的是暗中竊取受害者的財務資訊，例如網絡銀行的登入憑證。當其原始碼於 2011 年外洩後，新變種便充斥於網絡犯罪黑市，促使資訊竊取產業蓬勃發展並正式成形，開發者不斷升級和客製化其功能。如今，從 Windows PC、macOS 電腦到 iOS 和 Android 裝置，幾乎每個運算平台都有其對應版本。

資訊竊取軟件覬覦的目標取決於其變種。登入憑證和會話 Cookie（可能讓黑客藉此繞過多重要素驗證 MFA）是主要目標之一。一份報告估計，去年被竊的 32 億筆憑證中，高達 75%（21 億筆）是透過資訊竊取軟件所收集。其他可能面臨風險的個人和財務資訊包括：

• 支付卡、銀行帳戶和加密貨幣詳細資訊（例如：加密錢包金鑰）
• 其他財務資訊，包括保險或政府福利（如社會安全）詳細資料
• 瀏覽器資料，包括瀏覽紀錄和任何「已儲存表單」資料，其中可能包含支付細節和密碼
• 你的電腦或裝置的系統資訊
• 儲存在你的裝置 / 機器上的檔案，包括相片和文件
• 其他個人資訊，包括姓名、電話號碼和地址

資訊竊取軟件如何運作？

這類惡意軟件的目的，是在你不知情的狀況下迅速找出裝置或電腦中的敏感資訊，然後將其竊取並傳送至攻擊者控制的伺服器。它會透過掃描網頁瀏覽器、電子郵件客戶端、加密錢包、檔案、應用程式以及作業系統本身來達成。其他技術包括：

• 「表單擷取」（Form grabbing）：在你將登入資訊輸入線上表單、傳送到安全伺服器之前，就先行攔截。
• 「按鍵記錄」（Keylogging）：惡意軟件記錄你所有的鍵盤輸入。
• 螢幕截圖：擷取你的主畫面 / 桌面截圖，以防有敏感資訊顯示其上。
• 剪貼簿竊取：竊取儲存在系統剪貼簿中的資訊。
• 一旦資訊被傳回攻擊者的伺服器（過程通常僅需數秒），他們會將其打包成日誌（Logs），並在網絡犯罪黑市上販售。詐騙者接著會利用這些資訊來：
• 劫持你的網上帳戶（如 Netflix、Uber），竊取內部儲存的資訊或將存取權限轉賣他人。
• 進行身分詐欺，例如用你的名義申請貸款，或使用你的卡片 / 銀行帳戶消費。
• 進行醫療 / 保險詐欺，用你的名義獲取醫療服務或藥物。
• 進行稅務詐欺，用你的名義報稅並領取退稅款。
• 向你的聯絡人發送釣魚訊息或垃圾郵件。
• 盜領你金融帳戶中的資金。

我可能如何遭到資訊竊取軟件入侵？

要防範資訊竊取軟件，首要步驟是了解其散播途徑。常見的攻擊媒介包括：

• 網絡釣魚郵件 / 短訊：典型的社交工程手法，誘騙收件人點擊惡意連結或開啟附件，從而觸發惡意軟件的暗中安裝。威脅行為者通常會冒充可信的個人、品牌或機構，甚至偽造寄件人網域並使用官方標誌。
• 惡意網站：可能作為釣魚活動的一環，或是獨立的攻擊媒介。使用者可能被誘騙下載檔案或點擊連結，有時甚至只要造訪該網站就可能觸發「路過式下載」（Drive-by-Download）。威脅行為者可能利用黑帽 SEO 技術，人為提高這些惡意網站在搜尋引擎結果中的排名，讓你更容易在搜尋時點入。
• 遭入侵的網站：有時黑客會入侵你可能瀏覽的合法網站，藉此植入惡意程式碼，例如利用瀏覽器漏洞或插入惡意廣告（Malvertising）。這兩種方式都可能導致資訊竊取軟件被安裝。
• 惡意應用程式：看似合法的軟件或 App 在下載後可能內藏竊取資訊的惡意程式碼。對於防護通常不如電腦完善的流動裝置而言，風險尤其顯著。要特別留意熱門遊戲或其他軟件的盜版。
• 社交媒體詐騙：詐騙者可能利用誘人的廣告或貼文（例如假冒名人或盜用他人帳號發文）誘騙你點擊。對於看起來好得不真實的優惠、抽獎或獨家內容應抱持懷疑。
• 遊戲模組 / 作弊程式：非官方的遊戲修改檔或作弊工具可能夾帶資訊竊取惡意軟件。例如，ESET 研究人員曾發現，有 GitHub 儲存庫聲稱提供 Hamster Kombat 遊戲的輔助工具（如農場機器人、自動點擊器），實則暗藏 Lumma Stealer 變種病毒。

深入剖析威脅情勢

正如 ESET 在其 H2 2024 威脅報告中所揭示，資訊竊取軟件市場對網絡犯罪分子而言，利潤豐厚。「惡意軟件即服務」（MaaS）模式降低了取得多種資訊竊取軟件變種的門檻，這些變種在犯罪市集上隨處可見。部分網站甚至提供日誌解析服務，協助犯罪分子從原始日誌中提取可用或轉售的資料。

ESET 指出，這些惡意軟件持續演進。例如，自 2021 年即開始活躍的 Formbook，近期加入了更複雜的混淆技術，意圖增加安全研究人員進行樣本採集和分析的難度。雖然像 RedLine 這類的變種因執法機關的聯合打擊而銷聲匿跡，但其他如 Lumma Stealer 等變種則迅速填補空缺。根據 ESET 的研究，Lumma Stealer 在 H2 2024 的偵測數量年增率高達 369%。

如何遠離資訊竊取軟件？

那麼，該如何確保你的流動裝置或電腦不被資訊竊取軟件入侵呢？由於惡意軟件可透過多種途徑散播，你需要謹記以下幾項最佳防護措施：

• 安裝並及時更新安全軟件：在所有裝置上都這樣做，能大幅提升你抵禦資訊竊取軟件及其他威脅的能力。
• 具備釣魚防範意識：避免點擊任何不明訊息中的連結或開啟附件。若對訊息來源有疑慮，應透過其他管道獨立聯繫寄件人確認。有時，將滑鼠游標移至寄件人欄位上方，就能識破其真實來源是否被偽造。
• 僅從官方應用程式商店下載軟件：雖然 Google Play 等官方商店偶爾也會出現惡意軟件，但通常能迅速下架，整體而言遠比第三方商店安全。切勿下載任何盜版或破解軟件，尤其是標榜免費的。
• 維持作業系統與應用程式更新：務必將系統和應用程式更新至最新版本，因為最新版通常也修補了已知的安全漏洞。
• 謹慎使用社交媒體：記住「好得不真實」的優惠通常是陷阱。若感到可疑，可先透過 Google 搜尋查證是否為已知騙局。同時要了解，朋友或名人的帳號也可能被盜用來散播詐騙訊息。避免點擊任何不明連結。
• 強化登入安全：為每個帳戶設定強度高且獨一無二的密碼，並使用密碼管理器儲存。為所有支援的帳戶啟用多重要素驗證（MFA）。雖然 MFA 無法百分之百防堵所有資訊竊取手法（例如某些繞過方式），但能有效防禦按鍵記錄等攻擊。

關鍵在於多層次地部署這些防護措施，以縮減黑客可利用的攻擊破口。但同時也要記住，黑客會不斷尋找新的攻擊手法與漏洞，因此時刻保持警覺至關重要。

企業資料外洩是導致身分詐騙的主要途徑，但這並非唯一方式。本文將深入探討您的個人資料可能如何遭竊，並提供確保資料安全的方法。

資料外洩對企業構成日益嚴峻的威脅，對客戶而言卻是一場噩夢。根據最新數據，2024 年美國公開通報的相關事件達 3,158 宗，幾乎達到歷史新高。因此需向受害者發出超過 13 億封資料外洩通知，當中逾十億人受到五宗涉及上億筆記錄的特大外洩事件影響。

壞消息是，這僅是冰山一角。您的個人可識別資訊（PII）仍可能透過許多其他途徑落入不法分子手中。一旦這些資料在網絡犯罪的地下世界流通，被用於身分詐騙就只是時間早晚的問題。

風險何在？

這些資料具體包含哪些？可能包括：

• 姓名及地址
• 信用卡／支付卡號碼
• 社會安全碼或政府身分證號碼（如美國的 SSN）
• 銀行帳戶號碼
• 醫療保險詳情
• 護照／駕駛執照號碼
• 公司及個人網上帳戶的登入憑證

一旦您的個人資料被盜，無論是透過大規模資料外洩，還是經由下述多種方法之一，這些資料很可能會被轉售或提供給其他犯罪分子，用於形形色色的詐騙活動。這可能包括非法購物、帳戶盜用（ATO）、冒名開立新帳戶，或旨在誘騙更多敏感資料的網絡釣魚攻擊。在某些情況下，真實資料會與機器生成的資料混合，以創建「合成身份」，使詐騙偵測系統更難攔截。

這已形成一個龐大的黑色產業。根據 Javelin Strategy & Research 的數據，僅 2024 年，身分詐騙和各類騙局就使美國民眾損失高達 470 億美元。

身分盜竊如何運作？

身分詐騙最終都源於個人資料的獲取。那麼，網絡罪犯通常如何取得您的個資？除了從與您有業務往來的第三方機構竊取大量資料外，針對個人的常見攻擊手法還包括：

網絡釣魚 / 短訊釣魚 / 語音釣魚： 典型的社交工程攻擊可透過多種渠道進行，從傳統的電郵釣魚、手機短訊釣魚（Smishing），到語音電話釣魚（Vishing）。攻擊者通常會使用慣用伎倆誘騙您執行指令，例如點擊惡意連結、填寫個人資料或開啟惡意附件。這些伎倆包括利用官方標誌冒充知名公司或機構，以及偽造來電顯示或網域名稱等。

數碼側錄（Digital Skimming）：為獲取您的銀行卡資料，攻擊者可能會將惡意擷取程式碼（Skimming Code） 植入熱門電子商務網站或其他網頁。整個過程對受害者而言通常毫無察覺。

公用 Wi-Fi：不安全的公用 Wi-Fi 網絡可能導致中間人攻擊（Man-in-the-Middle Attack），讓您的個人資訊被截取。黑客也可能設置偽冒的 Wi-Fi 熱點（Rogue Hotspot） 來收集資料，並將用戶重新導向至惡意網站。

惡意軟件（Malware）：竊取資訊的惡意軟件對企業用戶和個人消費者都構成日益嚴峻的威脅。它可能透過釣魚訊息、受感染網站的偷渡式下載（Drive-by-Download）、破解版遊戲、Google 廣告，甚至看似合法的應用程式（包括偽冒的會議軟件）等途徑，在用戶不知情下安裝。大多數資訊竊取軟件旨在搜刮檔案、數據流、銀行卡資料、加密貨幣資產、密碼及鍵盤輸入記錄。

惡意廣告（Malvertising）： 惡意廣告可被設計用來竊取資訊，有時甚至無需用戶互動。

惡意網站：釣魚網站可以偽冒成合法網站，甚至偽造幾可亂真的網域名稱。在偷渡式下載的情況下，用戶僅需瀏覽惡意頁面，系統便會暗中進行惡意軟件的安裝。惡意網站常利用惡意搜尋引擎（SEO）技術，被推至搜尋結果頂部以增加曝光。

惡意應用程式：惡意軟件，包括銀行木馬程式和資訊竊取器，常偽裝成合法應用程式。在官方應用程式商店（如 Google Play）以外下載的風險尤其高。

裝置遺失／遭竊：如果您的裝置遺失或被盜，且缺乏足夠的安全防護，黑客便可能竊取其中的個人與財務資料。

如何預防身分詐騙

預防身分詐騙的關鍵在於從一開始就阻止不法分子接觸您的個人及財務資訊。若能綜合運用以下一系列步驟，將能有效達成此目標：

設定強固且獨特的密碼：為每個網站／應用程式／帳戶設定不同的密碼，並使用密碼管理器安全儲存及自動填入。同時，在您的網上帳戶啟用雙重認證（2FA）。這意味著即使攻擊者獲取了您的密碼，也無法輕易登入。使用驗證器應用程式或實體安全金鑰是強化 2FA 安全性的最佳方式。

安裝安全軟件：為您所有的裝置和電腦安裝信譽良好廠商的安全軟件。它能掃描並攔截惡意應用程式和下載、偵測釣魚網站、標示可疑活動等多項功能。

保持警惕：時刻警惕網絡釣魚的跡象，例如收到來路不明的訊息，內容催促您立即採取行動，並附有可疑連結或附件。寄件者可能利用限時抽獎、警告您若不立即回覆將面臨罰款等藉口施壓。

僅從官方渠道下載應用程式：在流動裝置上，應堅持從 Apple App Store 和 Google Play 等官方平台下載應用程式，以降低接觸惡意程式的風險。下載前，務必仔細檢查用戶評論和應用程式權限要求。

慎用公用 Wi-Fi：盡量避免使用公用 Wi-Fi。若無法避免，切勿在連接期間登入或操作任何敏感帳戶。無論如何，建議使用 VPN 加密連線以策安全。

如何應對資料外洩事件

對於第三方機構發生的資料外洩，您能採取的直接行動有限。但您可以在購物時選擇不儲存支付卡及個人資料，以減少一旦發生外洩時可被竊取的資料量。此外，採取積極的預防和應對措施至關重要。市面上有些身份保護服務能監測暗網（Dark Web），檢查您的個資是否已遭外洩。若發現匹配，能讓您及時註銷信用卡、更改密碼並採取其他預防措施。同時，密切留意銀行帳戶的異常交易記錄亦非常重要。

其他外洩後可採取的步驟包括：

凍結信用報告：向美國三大信用報告機構申請信用凍結。這能阻止機構與第三方分享您的信用報告，使詐騙者無法以您的名義開設新帳戶。（註：此為美國特定機制，其他地區的信用保護措施可能不同，請查詢當地適用方法。）

通知銀行：立即凍結相關銀行卡（通常可透過銀行 App 操作），通報詐騙情況並申請補發新卡。

報案及通報：向警方報案，如有需要可向美國聯邦貿易委員會（FTC）等機構通報。公開自身經歷或有助警惕他人。同時，也應通知相關部門；例如駕照失竊需向當地的運輸署或駕照簽發機構申報。

更改登入憑證：立即更改所有可能已外洩帳戶的登入密碼，並啟用雙重認證（2FA）。

身分詐騙之所以持續構成威脅，是因為對於網絡罪犯而言，從中牟取暴利相對容易。只要我們能減少他們竊取個人資訊的管道，就能增加其作案難度，從而更有效地保護自身的數碼生活安全。