駭客四伏 留意「社交工程」

記者黃俐禎、邱曉昱/台北報導

民國 97 年,網路上流傳一款名為「彩虹橋木馬」的惡意程式,此程式原為保安部門監控城市角落的軟體,而後卻成了偷窺者的利器。隨著時代的演進,惡意程式的等級不斷提升,功能性的不同也使程式的隱密性更高,多數民眾對此防不勝防。

 

電腦為生活中不可或缺的工具
電腦為生活中不可或缺的工具。攝影/黃俐禎。

 

九月初,惡意程式透過臉書散布影片,當使用者點選影片後,就會被要求安裝 Chrome 瀏覽器的擴充程式,一旦安裝該擴充程式,惡意程式就能成功冒用使用者的臉書身分,到其臉書好友頁面再繼續散布影片的連結。中央大學資工系教授許富皓表示,資安界通常將此詐騙手法稱為「社交工程」,專門假冒其他軟體或隱藏在其他軟體之內,引誘使用者下載並安裝該軟體,進而導致機密資訊遭盜用、竊取、毀損或外流。

 

惡意程式透過臉書散布影片。
惡意程式透過臉書散布影片。 圖片來源/獨孤影武的「真實」與「玩具異想世界」。

 

文山一分局警務員張嘉仁指出,針對駭客入侵的部分,首先要了解駭客入侵電腦主要目的:可能是為了獲得成就感以及社會大眾的目光,也可能是為了獲得不正當的財務以及機密資料等。面對惡意程式,民眾要如何得知電腦是否被駭客入侵?許富皓說,過去能透過幾個細節察覺,例如,硬碟不斷讀取、系統變慢、記憶體不足、CPU 占用率高、突如其來的網路連線等。但隨著高階電腦不斷推陳出新,網際網路的頻寬更大,幾乎無法再從網速意識到自己的電腦遭到入侵。他坦言,不同時期的惡意程式,帶來的威脅程度也會不同,並建議民眾,盡量不要開啟來路不明的郵件,或從來源不明的網站下載程式。

 

惡意程式常透過電子郵件散布。攝影/黃俐禎
惡意程式常透過電子郵件散布。攝影/黃俐禎。

 

專精各種資安漏洞的資安研究員曾智平也提到,目前已有不少現成且免費的專業檢測工具,能預防惡意程式的攻擊,但若無資安的相關知識背景,也無法操作;對於缺乏資安背景及手動分析惡意程式能力的民眾而言,掃毒軟體成了相當重要的工具。同時也呼籲民眾,舊版的軟體時常會有資安的漏洞,軟體的定期更新能夠降低被惡意程式攻擊的機會。

 

使用掃毒軟體能降低惡意程式入侵風險。 影像截自:邱曉昱。
使用掃毒軟體能降低惡意程式入侵風險。圖片提供/邱曉昱。

 

針對散播惡意程式的駭客,張嘉仁表示,惡意入侵電腦在刑法上已構成不同要件的罪章,如製造木馬病毒或程式進行犯罪,處五年以下有期徒刑,拘役或併科 20 萬元以下罰金,且此類罪責為非告訴乃論;若造成他人電腦個資檔案變更或刪除,可能會觸犯刑法第四十二條個人資料保護法,可處五年以下有期徒刑,拘役或併科新台幣 100 萬元以下罰金。最後,曾智平及許富皓共同呼籲民眾,平時要做好防範措施,避免開啟不當網站,或者下載討論區的破解版程式,因為即便是資安工程師也無法百分之百預防駭客的攻擊,儘管是最強大的駭客,也有可能成為受駭者。

 

惡意程式無所不在。 圖片提供:林梓晴
惡意程式無所不在。圖片提供/林梓晴。