偷取您電腦中的各種資訊,特別是各類帳戶密碼 (例如:網路銀行帳戶、各種金融交易帳戶、遊戲會員帳戶、郵箱帳戶、MSN 帳戶、各種會員帳戶…等) 是目前許多駭客下手的主要目地 (因為有機會偷到值錢或重要的東東),雖然防禦措施與其他不速之客的防護大同小異,不過小弟還是在本問題中做一個專論,讓您可以更清楚、更能了解如何防止各類帳戶密碼被偷取,不再受到這類不速之客的威脅。
偷取手法與防護
目前駭客偷取各種帳戶密碼的手法可分為鍵盤側錄、郵件騙取、網頁釣魚、封包偷取、談話中取得…等 5 種,下面分別說明。
方法 1 鍵盤側錄
顧名思義就是當您在操作電腦時偷偷記錄下所有按下過的按鍵,然後傳給駭客,駭客再從這個按鍵記錄中找出有用的帳戶密碼。而通常駭客都是使用所謂的 Keylogger 木馬或具有鍵盤監控功能的遙控軟體來做這件事,或是只偷取某些帳戶的專屬木馬 (例如:MSN 木馬、某個遊戲的木馬…等)。
既然駭客是使用木馬來做這件事,因此不讓木馬有機會進入您的電腦中是最重要的防護措施,如果萬一不幸讓木馬有機可趁進入您的電腦中,不必太擔心,只要依照底下- 側錄與封包偷取的有效防護的說明來進行,還是有機會化險為夷、逃過一劫。
方法 2 郵件騙取
這就是假冒某公司、銀行、金融單位或機構發一封郵件給您詢問帳戶與密碼,例如:假冒 Google 的名義藉口驗證資料 (或其他理由) 要求輸入郵箱的帳戶密碼,雖然此方法不怎麼高明但卻很常見,在過去幾年相信大家也都收到過這樣的郵件,不過在防駭防騙的觀念逐漸深入許多人心中後,目前這類騙取信件已經不多,而防護的方法也非常簡單,收到任何需要輸入帳戶密碼的信件,除非您 100% 確定完全沒問題,否則一概不予理會就行了。
方法 3 網頁釣魚 (Phishing)
當郵件騙取已經沒什麼效果後,駭客們又想出網頁釣魚 (Phishing) 的方法 ,誘騙您到一個假造的網頁上輸入帳戶密碼,這是目前最常見的騙取手法。
方法 4 封包偷取
將您網路上傳送的封包偷取後傳送給駭客,然後再找出其中的帳戶密碼也是駭客使用的招數之一,同樣的偷取封包的工作當然也是要靠木馬才能做到,因此防護的方 式也不難,就是想盡辦法不讓木馬有機會進入您的電腦中,如果萬一不幸有木馬進入您的電腦中,也不必太擔心,只要依照底下- 側錄與封包偷取的有效防護的說明來進行,還是可以讓駭客無功而返、白忙一場。
方法 5 談話中取得
由於許多人為了記憶方便或懶的想太多,經常將自己的出生年月日、特定喜歡的數字或號碼、寵物名稱、自己的小名或綽號…等,做為帳戶名稱與密碼…這是非常不 安全的,因為在網路交談的人或親朋好友,很可能由與您的交談或信件中獲取這些資料,因此而猜中某個帳戶名稱與密碼,因此在取用戶名稱與密碼時,必須謹慎一 點,善用取名技巧 (例:英數字混雜) 來取才比較有安全與保障。
側錄與封包偷取的有效防護
不論您的電腦是否已經被鍵盤側錄或封包截取的木馬入侵,只要確實做到下面幾項建議,就可以讓這些木馬無用武之地,達到徹底有效的防護。
方法 1 使用虛擬鍵盤
由於許多人仍然不重視網路安全或基本常識不足,所以有些網站為了保障客戶的安全,而且注意到鍵盤側錄木馬的嚴重性,因此設計出虛擬鍵盤的方式,讓客戶登入時利用虛擬鍵盤來輸入密碼,而不是使用鍵盤輸入,如此肯定讓任何的鍵盤側錄木馬完全無用武之地 (因為不按鍵盤),完全保障您的密碼安全,例如:台灣花旗網路銀行就提供這樣的功能,如下圖所示。
缺點:
此項功能必須靠網站方面設計與提供,做為客戶的我們是使不上任何力的,因此若您所要登入的網站並沒有此功能,則可以使用下一個方法。
方法 2 使用貼上功能
前一個方法是防護鍵盤側錄木馬最有效的方式,但最大的缺點就是…必須您要登入的網站有此設計才行,否則巧婦難為無米之炊,若網站沒提供此功能而我又不想使用鍵盤來輸入密碼,要如何做到呢? 山不轉路轉,我們可以事先找一台 100% 完全乾淨沒有鍵盤側錄木馬的電腦,然後將您重要的帳戶名稱與密碼都鍵入儲存在一個純文字檔中,再將該複製到平常上網的電腦中,當需要輸入帳戶名稱與密碼時,打開該檔案,使用複製與貼上的方式來輸入 (用滑鼠操作),如此不論任何鍵盤側錄木馬都無法偷取 (記錄) 到任何東東。
缺點:
●有些網頁在輸入密碼時是不允許用貼上的方式來輸入,一定要用按鍵輸入,對於這樣的情況,此方式就沒用了。
●若您的電腦被駭客入侵,則儲存帳戶密碼的純文字檔案就有可能被偷,因此平常最好將該檔案上鎖,當需要使用時才解鎖,使用完後立刻再上鎖,如此就算被駭客偷走也是完全沒用。
●若您的電腦被植入側錄整個螢幕畫面的木馬,則在複製與貼入密碼時仍可 能會被木馬偷取到,也就是此方法無法防止側錄螢幕畫面的木馬。
建議 3 不儲存帳戶與密碼
有些網站會詢問您是否要儲存帳戶名稱 (有些還包含密碼),若您願意就會儲存到您電腦中的 Cookies 檔案內,這是有些危險的,因為如果您的電腦被駭客或木馬入侵,然後取得這個 Cookies 檔案,就可能會被駭客得知該帳戶 (甚至密碼),因此強烈建議您不要儲存任何帳戶名稱與密碼,如此才不會讓駭客有機可趁,例如下圖所示。
方法 4 使用高位元或 https 加密軟體
為了避免包含帳戶密碼 (或其他重要資料) 的封包被封包截取木馬偷走,強烈建議您使用有支援高位元封包加密或 https 加密的各種網路程式,例如:使用具有 128 位元或更高位元加密的 IE 瀏覽器 (如果您的 IE 瀏覽器不具有 128 位元加密可更新到 IE 6.0 或以上),如此就算封包被駭客偷去,還必須經過麻煩的解密後才可能看得到真正的資訊,大大的保障您封包中資料的安全。
缺點:
只有瀏覽器支援封包高位元加密或 https 並沒有用,必須要連線的網站那端的系統也支援同樣的加密方式才行,否則封包解不開是無法進行資料傳送的,雖然目前許多網路銀行、券商…等金融交易網站都有支援 https 加密,但大多數的 Web-Mail 或非金錢交易網站都未支援封包加密,所以仍需要大家努力去推動這種保護方式。
討論與研究
雖然徹底做到上述幾個方式可以有效防止鍵盤側錄或封包截取木馬的偷竊行為,但並不表示駭客就無計可施,還是可以使用具有螢幕截取功能的木馬或遙控軟體來偷取您的帳戶名稱與密碼,因此要有效防止各種帳戶密碼被偷取,將各種不速之客阻擋在門外是不二法門。
轉載於:FLAG PUBLISHING No.60
發表文章
沒有留言:
張貼留言