企業資料外洩是導致身分詐騙的主要途徑,但這並非唯一方式。本文將深入探討您的個人資料可能如何遭竊,並提供確保資料安全的方法。
資料外洩對企業構成日益嚴峻的威脅,對客戶而言卻是一場噩夢。根據最新數據,2024 年美國公開通報的相關事件達 3,158 宗,幾乎達到歷史新高。因此需向受害者發出超過 13 億封資料外洩通知,當中逾十億人受到五宗涉及上億筆記錄的特大外洩事件影響。
壞消息是,這僅是冰山一角。您的個人可識別資訊(PII)仍可能透過許多其他途徑落入不法分子手中。一旦這些資料在網絡犯罪的地下世界流通,被用於身分詐騙就只是時間早晚的問題。
風險何在?
這些資料具體包含哪些?可能包括:
- 姓名及地址
- 信用卡/支付卡號碼
- 社會安全碼或政府身分證號碼(如美國的 SSN)
- 銀行帳戶號碼
- 醫療保險詳情
- 護照/駕駛執照號碼
- 公司及個人網上帳戶的登入憑證
一旦您的個人資料被盜,無論是透過大規模資料外洩,還是經由下述多種方法之一,這些資料很可能會被轉售或提供給其他犯罪分子,用於形形色色的詐騙活動。這可能包括非法購物、帳戶盜用(ATO)、冒名開立新帳戶,或旨在誘騙更多敏感資料的網絡釣魚攻擊。在某些情況下,真實資料會與機器生成的資料混合,以創建「合成身份」,使詐騙偵測系統更難攔截。
這已形成一個龐大的黑色產業。根據 Javelin Strategy & Research 的數據,僅 2024 年,身分詐騙和各類騙局就使美國民眾損失高達 470 億美元。
身分盜竊如何運作?
身分詐騙最終都源於個人資料的獲取。那麼,網絡罪犯通常如何取得您的個資?除了從與您有業務往來的第三方機構竊取大量資料外,針對個人的常見攻擊手法還包括:
網絡釣魚 / 短訊釣魚 / 語音釣魚: 典型的社交工程攻擊可透過多種渠道進行,從傳統的電郵釣魚、手機短訊釣魚(Smishing),到語音電話釣魚(Vishing)。攻擊者通常會使用慣用伎倆誘騙您執行指令,例如點擊惡意連結、填寫個人資料或開啟惡意附件。這些伎倆包括利用官方標誌冒充知名公司或機構,以及偽造來電顯示或網域名稱等。
數碼側錄(Digital Skimming):為獲取您的銀行卡資料,攻擊者可能會將惡意擷取程式碼(Skimming Code) 植入熱門電子商務網站或其他網頁。整個過程對受害者而言通常毫無察覺。
公用 Wi-Fi:不安全的公用 Wi-Fi 網絡可能導致中間人攻擊(Man-in-the-Middle Attack),讓您的個人資訊被截取。黑客也可能設置偽冒的 Wi-Fi 熱點(Rogue Hotspot) 來收集資料,並將用戶重新導向至惡意網站。
惡意軟件(Malware):竊取資訊的惡意軟件對企業用戶和個人消費者都構成日益嚴峻的威脅。它可能透過釣魚訊息、受感染網站的偷渡式下載(Drive-by-Download)、破解版遊戲、Google 廣告,甚至看似合法的應用程式(包括偽冒的會議軟件)等途徑,在用戶不知情下安裝。大多數資訊竊取軟件旨在搜刮檔案、數據流、銀行卡資料、加密貨幣資產、密碼及鍵盤輸入記錄。
惡意廣告(Malvertising): 惡意廣告可被設計用來竊取資訊,有時甚至無需用戶互動。
惡意網站:釣魚網站可以偽冒成合法網站,甚至偽造幾可亂真的網域名稱。在偷渡式下載的情況下,用戶僅需瀏覽惡意頁面,系統便會暗中進行惡意軟件的安裝。惡意網站常利用惡意搜尋引擎(SEO)技術,被推至搜尋結果頂部以增加曝光。
惡意應用程式:惡意軟件,包括銀行木馬程式和資訊竊取器,常偽裝成合法應用程式。在官方應用程式商店(如 Google Play)以外下載的風險尤其高。
裝置遺失/遭竊:如果您的裝置遺失或被盜,且缺乏足夠的安全防護,黑客便可能竊取其中的個人與財務資料。
如何預防身分詐騙
預防身分詐騙的關鍵在於從一開始就阻止不法分子接觸您的個人及財務資訊。若能綜合運用以下一系列步驟,將能有效達成此目標:
設定強固且獨特的密碼:為每個網站/應用程式/帳戶設定不同的密碼,並使用密碼管理器安全儲存及自動填入。同時,在您的網上帳戶啟用雙重認證(2FA)。這意味著即使攻擊者獲取了您的密碼,也無法輕易登入。使用驗證器應用程式或實體安全金鑰是強化 2FA 安全性的最佳方式。
安裝安全軟件:為您所有的裝置和電腦安裝信譽良好廠商的安全軟件。它能掃描並攔截惡意應用程式和下載、偵測釣魚網站、標示可疑活動等多項功能。
保持警惕:時刻警惕網絡釣魚的跡象,例如收到來路不明的訊息,內容催促您立即採取行動,並附有可疑連結或附件。寄件者可能利用限時抽獎、警告您若不立即回覆將面臨罰款等藉口施壓。
僅從官方渠道下載應用程式:在流動裝置上,應堅持從 Apple App Store 和 Google Play 等官方平台下載應用程式,以降低接觸惡意程式的風險。下載前,務必仔細檢查用戶評論和應用程式權限要求。
慎用公用 Wi-Fi:盡量避免使用公用 Wi-Fi。若無法避免,切勿在連接期間登入或操作任何敏感帳戶。無論如何,建議使用 VPN 加密連線以策安全。
如何應對資料外洩事件
對於第三方機構發生的資料外洩,您能採取的直接行動有限。但您可以在購物時選擇不儲存支付卡及個人資料,以減少一旦發生外洩時可被竊取的資料量。此外,採取積極的預防和應對措施至關重要。市面上有些身份保護服務能監測暗網(Dark Web),檢查您的個資是否已遭外洩。若發現匹配,能讓您及時註銷信用卡、更改密碼並採取其他預防措施。同時,密切留意銀行帳戶的異常交易記錄亦非常重要。
其他外洩後可採取的步驟包括:
凍結信用報告:向美國三大信用報告機構申請信用凍結。這能阻止機構與第三方分享您的信用報告,使詐騙者無法以您的名義開設新帳戶。(註:此為美國特定機制,其他地區的信用保護措施可能不同,請查詢當地適用方法。)
通知銀行:立即凍結相關銀行卡(通常可透過銀行 App 操作),通報詐騙情況並申請補發新卡。
報案及通報:向警方報案,如有需要可向美國聯邦貿易委員會(FTC)等機構通報。公開自身經歷或有助警惕他人。同時,也應通知相關部門;例如駕照失竊需向當地的運輸署或駕照簽發機構申報。
更改登入憑證:立即更改所有可能已外洩帳戶的登入密碼,並啟用雙重認證(2FA)。
身分詐騙之所以持續構成威脅,是因為對於網絡罪犯而言,從中牟取暴利相對容易。只要我們能減少他們竊取個人資訊的管道,就能增加其作案難度,從而更有效地保護自身的數碼生活安全。
關於ESET
ESET成立於1992年,是一家面向企業與個人用戶的全球性的電腦安全軟件提供商,其獲獎產品 — NOD32防病毒軟件系統,能夠針對各種已知或未知病毒、間諜軟件 (spyware)、rootkits和其他惡意軟件為電腦系統提供實時保護。ESET NOD32佔用 系統資源最少,偵測速度最快,可以提供最有效的保護,並且比其他任何防病毒產品獲得了更多的Virus Bulletin 100獎項。ESET連續五年被評為“德勤高科技快速成長500 強”(Deloitte’s Technology Fast 500)公司,擁有廣泛的合作夥伴網絡,包括佳能、戴爾、微軟等國際知名公司,在布拉迪斯拉發(斯洛伐克)、布裏斯托爾(英國 )、布宜諾斯艾利斯(阿根廷)、布拉格(捷克)、聖地亞哥(美國)等地均設有辦事處,代理機構覆蓋全球超過100個國家。
關於 Version 2 Digital
Version 2 Digital is one of the most dynamic IT companies in Asia. The company distributes a wide range of IT products across various areas including cyber security, cloud, data protection, end points, infrastructures, system monitoring, storage, networking, business productivity and communication products.
Through an extensive network of channels, point of sales, resellers, and partnership companies, Version 2 offers quality products and services which are highly acclaimed in the market. Its customers cover a wide spectrum which include Global 1000 enterprises, regional listed companies, different vertical industries, public utilities, Government, a vast number of successful SMEs, and consumers in various Asian cities.
