行動商務,行動商務有「購」安全
03
18
18
photo:John Lamb/Getty Images
本站與國立中山大學資訊管理學系網路行銷研究團隊合作,將不定期推出專欄系列文章。此次專欄系列將探討行動商務議題。
本篇同步刊載於科技部科技大觀園網站。
「李○○,這是上次聚會照片,你好好笑喔!」被害者日前收到LINE訊息,以為是同學傳來照片,點了網址卻是下載惡意程式;對方取得他的手機權限,利用手 機小額付款購買遊戲點數後換取現金,被害人收到帳單時才發現被騙。2013年8月出現的LINE軟體詐騙案,短短3個月竟騙了全台六百七十四人,且六成受 害者有大學以上學歷。學歷高者使用智慧型手機比率很高,「依賴網路越重,越容易被騙!」警方表示目前能植入木馬程式的都是Android系統;小額付款雖 有上限,但沒限定一天次數,有被害人一天損失三萬元,提醒民眾注意。
使用無線上網或手機上網的同時,隱藏著許多的風險,包含
- 使用者未經授權使用:駭客利用不需密碼認證的Wi-Fi,進行智慧財產權侵犯、散布電腦病毒 等違法行為,讓Wi-Fi擁有者為其背黑鍋。
- 竊聽並洩漏資料:駭客針對無線網路通訊內容進行監控或監聽的行為。
- 訊息竄改:駭客扮演中間人的角色,讓兩端的通訊通過他來傳遞,並在兩端不知情的情況下更改傳遞的訊息。
- 偽裝:欺騙認證系統,並非法取用系統資源,例 如架設偽裝的無線網路認證系統,並設定無線網路識別碼,騙取被害人的帳號與密碼。
- 偽裝APP:使用者下載該APP後,駭客就可操縱該手機,並能看見 使用者在手機中的隱私資訊,甚至控制他們傳送付費的簡訊。
縱使行動網路存在著許多風險,但只要知道常見的攻擊手法並小心提防,就能將受到危險的機會降低,以下提供Wi-Fi與手機資訊安全上的建議:
- 更改預設管理的帳號與密碼:讓攻擊者無法輕易存取無線基地台。
- 開啟無線基地台的加密功能:傳遞的資料會受到加密保護,以避免遭到竊聽而洩漏。
- 不連線到未加密的 Wi-Fi 網路:建議只連線到信任的無線網路。
- 只在信譽良好的網站中下載APP:從不可靠來源下載的程式可能就是惡意程式。
photo:the JoshMeister/flickr
除了提防資訊的風險,還可以運用以下資安技術來幫助我們遠離危害
- 安裝手機防毒軟體:當你透過安裝 APP 時,它會自動掃描檔案的安全性,避免惡意軟體入侵。
- 利用行動裝置管理系統管理組織內的行動裝置。系統的目的在於限制行動裝置的行為且可遠端變更與清 除內容,如組織可要求行動裝置設置密碼、加密檔案、使用軟體權限等。
- 虛擬私人網路(VPN):是網際網路與內部私人網路間的通道,能加密資料、防止竊聽、驗證發送者身份,並確保資料完整性。
- 安裝具有「可遠端進行資料清除」功能的資安軟體,可刪除遠端的隱私資料,避免手機遺失或遭盜用時,重要資料外洩。
- 採取沙箱(SandBox) 概念的行動裝置作業系統,能偵測模擬區域中發現可能的惡意行為,確保軟體遭到濫用時,造成的影響仍受限於沙箱之中。
- 隨機記憶體編排(ASLR)與資 料防止執行(DEP):ASLR將執行程序中元件的記憶體位置打亂,使得駭客難以正確執行惡意程式。DEP則是避免未授權程式碼之執行,無法在不可執行的 記憶體區塊執行攻擊碼。
行動裝置已成為個人隨身的通訊與資料處理工具,許多隱私資料易引起不法人士的覬覦,故在行動裝置的安全保護上變得更加重要。隨著網路科技的發展,行動裝置 具備上網功能的比重也日益升高,在習慣透過行動裝置處理工作或生活大小事之餘,必須防範行動裝置避免成為駭客惡意攻擊的對象。此類攻擊方式包括惡意程式、 通訊資料攔截及直接入侵等,無論企業、個人甚至政府應當正視資安問題,避免造成損失。
作者:謝承哲
相關資訊: