使用者Google帳戶密碼安全意識不足,導致網銀存款遭盜轉
文章推薦指數: 80 %
後續,我們向刑事局確認此事件,因為Google帳戶本身有提供兩步驟認證,不該如此容易被猜出密碼而登入。
刑事警察局偵九大隊隊長陳詰昌表示,這些受害者並 ...
移至主內容
按讚加入iThome粉絲團
文/羅正漢
|
2018-09-11發表
圖片來源: 刑事警察局偵九大隊
個人雲端帳戶安全問題時有所聞,密碼設定不當再成焦點。
上周警方偵破一起網路犯罪事件,是藉由猜出用戶雲端帳號密碼,進而盜領網路銀行帳戶下的存款。
今年7月,刑事警察局接獲銀行及數名被害人報案,銀行帳戶存款遭盜轉一空,損失達數百萬元。
根據調查,猜出帳號密碼的該犯罪集團,先從普遍民眾使用的Google帳戶下手,以暴力破解方式,他們利用許多民眾以電話號碼作為網路帳戶密碼的習慣,嘗試登入Google帳戶,再從被害人的Gmail或雲端硬碟,找出金融往來資料、密碼,以及身分證件等資訊。
接下來,犯罪集團成員假冒被害人,撥打電話給銀行客服,以變更存戶聯絡電話,也就是改成犯罪集團持用的人頭電話號碼。
之後犯罪集團開始進行網路銀行盜轉動作,先登入被害人網路銀行,並從人頭電話接收動態密碼,再將帳戶存款轉至另一人頭帳戶,最後由車手將人頭帳戶內的錢提領出。
由於這類網路銀行盜轉,已經嚴重影響國內金融交易秩序,刑事警察局偵九大隊在近兩個月的調查下,於掌握情資後,與臺北市、桃園市、臺中市等警察局共同執行搜索、拘提行動,於9月5日公告偵破這個犯罪集團。
同時向民眾呼籲,Google等帳號已成為民眾的重要數位資產之一,他們建議:(一)勿設定易於猜解的帳號密碼。
(二)也不要將個人資訊、密碼及私密檔案存放雲端,避免因帳號遭人破解後,取得相關資料用於詐騙或其他非法用途。
(三)民眾若是發現銀行帳戶存款有遭盜領的異常情形,請向申設銀行反應及報案。
後續,我們向刑事局確認此事件,因為Google帳戶本身有提供兩步驟認證,不該如此容易被猜出密碼而登入。
刑事警察局偵九大隊隊長陳詰昌表示,這些受害者並沒有開啟兩步驟認證,當有新裝置登入自己的帳號的通知也被刪除。
不應直接以容易被猜出的自身個資作為密碼,千萬別輕忽主要電子郵件帳號外洩的嚴重性
在這起事件中,其實突顯了用戶在使用這類雲端服務的問題,包括密碼設定不夠安全,輕忽主要電子郵件帳號外洩嚴重性,以及兩步驟認證未開啟。
面對這樣的資安問題,民眾應該警惕,密碼的設定方式,不要直接以電話號碼等容易猜到的資訊,或是太多人使用的弱密碼,如123456、12345678等,作為密碼使用。
用戶必須注意,方便與危機僅一線之隔。
由於過去個人資料保護不足,許多個資可能早已經被竊取。
另一方面,雲端服務應用普遍,許多民眾意識不足,常為了方便記憶而使用自己的個人資訊作為密碼,例如生日、電話號碼、學號、身分證號,甚至是常用帳號名稱。
這也讓網路犯罪分子有機可趁,只要試著利用這些個人資訊,就有很大的機率猜到密碼。
另外,使用者要注意「撞庫」攻擊的手法,也就是網路犯罪者利用網路上已經外洩的使用者帳號和密碼,嘗試登入在其他網站或平臺,看看能否登入成功並獲得有用的資訊。
因此,在不同網站註冊時,最好不要使用同樣的密碼,雖然,這種方式在實務上會增加記憶的困難度,但總比帳戶遭人破解來得安全。
簡單一點,重要網站註冊與一般網站註冊的帳號密碼,最好有所區隔,限縮外洩管道。
更重要的是,用戶可能輕忽主要電子郵件信箱帳密外洩的風險,這裡面不僅存放許多個人資訊與資料,同時也包含個人往來的銀行、服務等資訊,當用戶其他雲端服務註冊的帳戶忘記密碼,要重新驗證時,個人主要雲端郵件信箱通常也是接收認證碼的管道,因此,一旦主要電子郵件信箱密碼遭駭,可能導致其他平臺的帳號也被竊取。
過去,在一些資安議程上,我們也曾聽過專家舉例,關於身分證遺失,與電子郵件信箱帳密外洩相比,何者比較嚴重?一般人可能輕忽了郵件帳號遭入侵,所衍生出的各式風險。
另一方面,像是Google等雲端服務都提供兩步驟認證,若是他人獲得你的帳戶密碼時,在不同裝置或IP登入時,會要求以手機等方式獲取驗證碼,來確保登入者為本人,這是現在用戶對於帳戶安全,應該要重視的部分,才能多一層保障。
當然,在兩步驟認證的機制下,用戶同時也要注意的是手機的安全與防護。
此外,對於當有新裝置登入自己的帳號的通知,用戶自己也必須特別留意。
刑事警察局偵查第九大隊偵破的這起網路銀行盜轉集團案,在查獲贓證物當中,也包含了犯罪分子不法取得的詐騙用個資,用來猜出用戶Google帳戶密碼。
(圖片來源:刑事警察局偵九大隊)
iThomeSecurity
熱門新聞
從網路上複製/貼上命令列要小心遭駭
2022-01-04
惡意軟體鎖定iLO韌體以刪除HPE伺服器資料,升級韌體也無法防堵
2022-01-04
京都大學超級電腦備份錯誤,損失77TB資料
2022-01-03
英特爾向蘋果下戰帖:12代14核心的Corei9效能超越M1Max
2022-01-06
微軟緊急修補造成WindowsServer遠端桌面無法連線、效能下降的臭蟲
2022-01-05
微軟內部部署ExchangeServer含有無法寄出郵件的2022年臭蟲
2022-01-03
WFH打破企業網路邊界,Cloudflare認為WAN已死、零信任安全模型興起
2022-01-04
趕在2021年結束之前,金管會正式要求臺灣上市櫃大型企業都需設置資安長,讓此要求擴及各類傳產與電子產業
2021-12-30
Advertisement
iThomeSecurity
2021iThome鐵人賽
專題報導
展望後疫2022,CIO必看10大趨勢
醫院資安長的必要性
AWS2022新戰略
臺灣製造!世界第一物件偵測AI
Nvidia2022新戰略
更多專題報導
延伸文章資訊
- 1使用者Google帳戶密碼安全意識不足,導致網銀存款遭盜轉
後續,我們向刑事局確認此事件,因為Google帳戶本身有提供兩步驟認證,不該如此容易被猜出密碼而登入。刑事警察局偵九大隊隊長陳詰昌表示,這些受害者並 ...
- 2查看有哪些裝置登入過您的帳戶
前往您的Google 帳戶。 · 選取左側導覽面板上的[安全性]。 · 按一下「您的裝置」面板上的[管理裝置]。 · 向下捲動至「已登出帳戶的裝置」。 · 系統會顯示您在過去28 天內已登出 ...
- 3Google帳號被盜該怎麼辦!?教你怎麼拿回來!差點失去我的 ...
Google帳號被盜該怎麼辦!?教你怎麼拿回來!差點失去我的YouTube頻道兩步驗證真的很重要啊!!下 ...
- 4【最新】Google帳號被盜如何救回?帳號密碼被盜 - KiKiNote
Google, 帳號, 被盜, 驗證, 密碼, · 步驟1 · 救回帳號:Google 帳號救援 ▽【➀輸入你的Google帳號】→【➁繼續】 · 步驟2 輸入你曾經用過的密碼都可以,或是 ...
- 5擔心Google 帳戶被盜?開啟Google 兩步驟驗證(雙重驗證) 提高 ...
一旦Google 帳號被盜的話,基本上所有的電子郵件、瀏覽紀錄、使用情況甚至是信用卡資料都會被竊取,如果你不希望Google 帳戶被盜的話, ...