荷里活多位女星,包括Jennifer Lawrence 和 Kate Upton早前遭受惡意攻擊,多張失竊私密裸照驚爆外流,引起全球哄動。由於多個報導均指黑客透過入侵受害名人之iCloud 帳戶偷取照片,故各界均擔心蘋果(Apple)iCloud大規模數據外泄。
趨勢科技指出,該事件應非大規模iCloud個人資料外泄,而是針對個別知名藝人的資料盜竊事件。
趨勢科技分析,本次事件有以下5種可能的發生原因:
1. 使用不安全、易遭害破解的密碼:使用與個人資訊高度相關的密碼,很容易遭到破解,黑客只須找尋相關資訊即可盜取資訊;
2. 受害者未啟用iCloud的雙向認證:當不法之徒知道受害者的iCloud電郵地址,即可能透過「忘記密碼」功能進行密碼重置。因藝人的大部分個人資料均可從網絡上取得,包括寵物名字等,大幅提升帳號被侵的可能性;
3. 不法之徒侵入另一個安全性較弱,或使用關連密碼的帳號,以接收iCloud的密碼重置郵件;
4. 重複使用相同密碼:許多人喜歡在多個服務使用相同的密碼,若其他網絡服務帳號已被入侵,iCloud的帳號也可能遭受攻擊;
5. 網絡釣魚:不法之徒發送針對性釣魚郵件給知名藝人,引誘她們輸入自己的iCloud認證資訊,到偽冒的登入畫面,藉此蒐集帳號與密碼。
另一保安方案供應商Symantec則表示,無論iCloud是否這次事件中的外泄點(point of compromise),黑客早就對這些憑證虎視眈眈。Symantec以往曾講述有關偽稱蘋果公司技術支援的詐騙電郵,要求用戶更新或核實他們的Apple ID(Apple ID用於設立iCloud帳戶)。這些電郵含有連結釣魚網站的網址,點擊後會套取用戶的Apple ID憑證,並將資料送到黑客手上。
檢查手機實時同步上傳功能
自新聞爆出後,用戶紛紛採用各種社交網絡,和搜尋引擎查看有關被盜照片的新聞。不法之徒深明大眾正搜尋此類內容,自然會在短時間內,試圖利用這個熱潮進行詐騙。故兩家保安廠商專家均提醒用戶,小心有關此題材的討論或電郵。此外,如不想步名人後塵,亦應檢查手機的實時同步功能,因除了iCloud,Google和Dropbox等服務亦設有自動同步上傳,用戶手機如存有敏感資訊或照片,宜停用該功能。
忌搜索名人照片及視頻
由於上傳名人私密照片的黑客,表示將會繼續上傳更多有關內容,Symantec強烈建議用戶,避免點擊關於提供更多名人照片或影片的網址。這些網址有可能連結至釣魚網站,或下載惡意程式或廣告程式的軟件。用戶亦應該提防自稱來自蘋果公司技術支援、安全或防護部門的電郵或短訊。不要點擊這些郵件中的任何連結,同時,永不以短訊發送你的Apple ID;同時,用戶亦應設置不易被破解的密碼。
趨勢科技香港區顧問李浩然提醒,不法之徒常利用熱門話題,或新聞事件進行不法活動,用戶應避免下載來歷不明的檔案或網絡連結,免遭惡意程式或遭到網絡釣魚而不自知。趨勢科技建議用戶採用網絡服務商提供的加強安全性選項,例如啟用雙項認證;切勿在多個網站重複使用相同密碼,並可使用具密碼管理功能的保安軟件,以加強防護。此外,部分網絡服務具有備份功能,刪除檔案時,也必須注意資料是否已有備份,或陰影複製(shadow copy)。當然,最有效的預防方法,還是避免拍攝私密照以降低資料外泄風險。
沒有留言:
發佈留言