龐博文 - 注意不明來歷訊息|暗網潛航
Previous Next 近期網絡上出現大量即時通訊軟件和社交媒體帳號被盜事件,其中最主要目標是WhatsApp,有些媒體指事件是WhatsApp的「安全缺失漏洞」,期望公司能夠盡快復修。然而媒體或對信息安全的認識不深,此次被盜事件
其實並非「安全缺失漏洞」,而是使用者因缺乏「安全意識」而產生的安全「威脅」。
信息安全「風險」由「漏洞」和「威脅」組成,「漏洞」是指軟件或硬件在技術上出現缺失,產生可被攻擊者利用風險,其解決方法不外乎更改、更新、升級或轉換軟硬件和技術;「威脅」指的是在使用軟硬件技術和處理數據資訊的過程中,由於人為錯誤、大意、遺漏甚至是惡意和自然界不可抗力而產生的風險,解決方法只有改進技術、使用方法流程或安全意識,透過複檢和迴避以解決風險。
因此這次被盜事件是「安全意識不足」,並且是由認證帳號方法所引起。在使用者轉移通訊軟件和社交媒體帳號時,服務公司會發放認證碼進行轉換認證。攻擊者先對受害者發送訛稱中獎或參與抽獎釣魚訊息,哄騙使用者使用手機上MMI快捷指令,例如**21*或**64*把電話號碼飛線到攻擊者電話,最後利用已飛線號碼獲得認證碼,對受害者帳號進行轉移。
這個攻擊因使用者「安全意識不足」引起,服務公司除了停止使用語音或不再透過手機發放認證碼,否則基本上不可能阻止。而最直接有效的解決方法,就是教育社會大眾提升安全意識,不要相信這些釣魚訊息。
TOZ聯合創辦人
龐博文
暗網潛航 - 龐博文 舊文
本文作轉載及備份之用 來源 source: http://hd.stheadline.com
