查看完整版本: 使用者Google帳戶密碼安全意識不足，導致網銀存款遭盜轉

論壇 › 電腦新資訊 › 使用者Google帳戶密碼安全意識不足，導致網銀存款遭盜轉

purplvampire 發表於 2018-9-11 07:29 PM

使用者Google帳戶密碼安全意識不足，導致網銀存款遭盜轉

本帖最後由 purplvampire 於 2018-9-11 07:31 PM 編輯

[本帖為轉載帖]

刑事警察局在9月5日偵破一起網路犯罪事件，手法是利用許多民眾以電話號碼作為網路帳戶密碼的習慣，入侵用戶Google帳戶，進而將網路銀行存款盜領。這突顯了密碼設定不夠安全，兩步驟認證未開啟，以及主要電子郵件帳號外洩嚴重性的問題。

文/羅正漢 | 2018-09-11發表




個人雲端帳戶安全問題時有所聞，密碼設定不當再成焦點。上周警方偵破一起網路犯罪事件，是藉由猜出用戶雲端帳號密碼，進而盜領網路銀行帳戶下的存款。

今年7月，刑事警察局接獲銀行及數名被害人報案，銀行帳戶存款遭盜轉一空，損失達數百萬元。根據調查，猜出帳號密碼的該犯罪集團，先從普遍民眾使用的Google帳戶下手，以暴力破解方式，他們利用許多民眾以電話號碼作為網路帳戶密碼的習慣，嘗試登入Google帳戶，再從被害人的Gmail或雲端硬碟，找出金融往來資料、密碼，以及身分證件等資訊。

接下來，犯罪集團成員假冒被害人，撥打電話給銀行客服，以變更存戶聯絡電話，也就是改成犯罪集團持用的人頭電話號碼。

之後犯罪集團開始進行網路銀行盜轉動作，先登入被害人網路銀行，並從人頭電話接收動態密碼，再將帳戶存款轉至另一人頭帳戶，最後由車手將人頭帳戶內的錢提領出。

由於這類網路銀行盜轉，已經嚴重影響國內金融交易秩序，刑事警察局偵九大隊在近兩個月的調查下，在掌握情資後，與臺北市、桃園市、臺中市等警察局共同執行搜索、拘提行動，於9月5日公告偵破這個犯罪集團。同時向民眾呼籲，Google等帳號已成為民眾的重要數位資產之一，（一）勿設定易於猜解的帳號密碼。（二）或是將個人資訊、密碼及私密檔案存放雲端，避免因帳號遭人破解後，取得相關資料用於詐騙或其他非法用途。（三）而民眾若是發現銀行帳戶存款有遭盜領異常情形，請向申設銀行反應及報案。

後續，我們向刑事局確認此事件，因為Google帳戶本身有提供兩步驟認證，不該如此容易被猜出密碼而登入。刑事警察局偵九大隊隊長陳詰昌表示，這些受害者並沒有開啟兩步驟認證，當有新裝置登入自己的帳號的通知也被刪除。

不應直接以容易被猜出的自身個資作為密碼，千萬別輕忽主要電子郵件帳號外洩的嚴重性

在這起事件中，其實突顯了用戶使用雲端服務的問題，包括Google等服務密碼設定不夠安全，主要電子郵件帳號外洩嚴重性，重要身分資料放在雲端的可能風險，以及兩步驟認證未開啟。

面對這樣的資安問題，民眾應該警惕，密碼的設定方式，不要直接以電話號碼等容易猜到的資訊，或是太多人使用的弱密碼，如123456、12345678等，作為密碼使用。用戶必須注意，方便與危機僅一線之隔。

由於過去個人資料保護不足，許多個資可能早已經被竊取。另一方面，雲端服務應用普遍，許多民眾意識不足，常為了方便記憶而使用自己的個人資訊作為密碼，例如生日、電話號碼、學號、身分證號，甚至是常用帳號名稱。這也讓網路犯罪分子有機可趁，只要試著利用這些個人資訊，就有很大的機率猜到密碼。

另外，使用者要注意「撞庫」攻擊的手法，也就是網路犯罪者利用網路上已經外洩的使用者帳號和密碼，嘗試登入在其他網站或平臺，看看能否登入成功並獲得有用的資訊。因此，在不同網站註冊時，最好不要使用同樣的密碼，雖然，這種方式在實務上會增加記憶的困難度，但總比帳戶遭人破解來得安全。簡單一點，重要網站註冊與一般網站註冊的帳號密碼，最好有所區隔，限縮外洩管道。

更重要的是，用戶可能輕忽主要電子郵件信箱帳密外洩的風險，這裡面不僅存放許多個人資訊與資料，同時也包含個人往來的銀行、服務等資訊，當其他雲端服務註冊的帳戶忘記密碼，要重新驗證時，郵件也是用來接收認證碼的管道，因此，一旦主要電子郵件信箱密碼遭駭，可能導致其他平臺的帳號也被竊取。

過去，在一些資安議程上，我們也曾聽過專家舉例，關於身分證遺失，與電子郵件信箱帳密外洩相比，何者比較嚴重？一般人可能輕忽了郵件帳號遭入侵，所衍生出的各式風險。

另一方面，像是Google等雲端服務都提供兩步驟認證，若是他人獲得你的帳戶密碼時，在不同裝置或IP登入時，會要求以手機等方式獲取驗證碼，來確保登入者為本人，這是現在用戶對於帳戶安全，應該要重視的部分，才能多一層保障。當然，在兩步驟認證的機制下，用戶同時也要注意的是手機的安全與防護。此外，對於當有新裝置登入自己的帳號的通知，用戶自己也必須特別留意。




====

建議做好密碼管理，避免共用密碼，尤其是存在大量個資的信箱一定要獨立一組



...<div class='locked'><em>瀏覽完整內容，請先 <a href='member.php?mod=register'>註冊</a> 或 <a href='javascript:;' onclick="lsSubmit()">登入會員</a></em></div><div></div>

AbsoluteEternal 發表於 2018-9-13 04:52 PM

所以這類具有網路雲儲存功能的帳號，都要設定二次驗證以增加帳戶資料的安全性

aoac396 發表於 2018-9-14 08:13 AM

其實，最重要的關鍵，還是在使用者的習慣。
密碼設定規則、定期更換密碼，這些都可以防止憾事發生。

呼籲大家務必養成密碼的好習慣。

domybest007 發表於 2018-9-14 03:42 PM

說真的，以銀行內控來看，很可疑，電話沒那麼好換

納茲~ 發表於 2018-9-15 06:42 PM

我覺得打電話就能請銀行換連絡電話這有點扯...
GOOGLE的手機認證不知道能不能擋下他入侵GMAIL這一關<br><br><br><br><br><div></div>

playhammer 發表於 2018-9-16 12:22 AM

老實說很多問卷都會填地址 電話 甚至有些要交出身分證
懷疑連身分證一段時間也要到戶政更新到最新版
不然個資都被流出 身分證也在對方手上
萬一銀行 什麼東西被轉走 發現都太慢了

1234567890jj 發表於 2018-9-17 08:02 AM

美國也有發生類似的案件
League of Legends 職業選手 Doublelift 手機被盜 銀行被搬走 20,000元美金

tom0963 發表於 2018-9-17 04:38 PM

不要嫌麻煩，申請兩步驟認證和登入時手機簡訊通知，可以提升帳號使用安全。

forinternet 發表於 2018-9-21 07:25 AM

密碼要小心保存好
現在的人不是密碼太簡單就是密碼太難忘記了

enhsin 發表於 2018-9-21 11:58 PM

這不像是真的~幾年前是有可能，近幾年資安議題高漲，許多提供服務的廠商早就提升這方面的維護了<br><br><br><br><br><div></div>

poiuasdf1324 發表於 2018-9-26 10:01 PM

會用yubikey這類硬體加密, 就很安全
當然普通用戶不會知道這是什麼鬼, 不會用

czdcsd 發表於 2018-9-26 11:15 PM

這種應該要兩次確認登入,和安全密碼才能吧,表示他們設定得過於簡單,只靠猜密碼

evisu666 發表於 2018-9-30 11:49 AM

現在網路科技都很發達  所以被盜用盜刷的情況越來越多  所以密碼要定期更換 二次認證步驟也很重要

0956417211 發表於 2018-9-30 02:10 PM

現在支付多方元
方便是方便
但是會變成保密危險也變成多方元
是雙面刃阿

jacky841224j 發表於 2018-10-6 11:26 AM

這種重要的密碼本來就不應該用儲存的方式
COOKIE是存在電腦裡面，有心人士很容易竊取
何況GOOGLE又常常自行備份上傳資料<br><br><br><br><br><div></div>