手機個資保護,避免私密照外流!!

這兩天,國內外媒體大篇幅報導-「歐美女星的手機隱私照片被駭」。提醒大家,手機安全自保事項:

(1) 勿點選可疑散佈明星私密照網址

媒體大幅報導,人的好奇心更想看。如果惡意的駭客趁此埋下木馬程式。點下連結或安裝可疑app就可能成為下一個受駭者。

(2) 在不同的雲端系統,使用不同的密碼
網友多數有多組雲端服務的帳號,為了方便記憶,常會用同一個密碼。這最大的危險就是如果一組帳號被駭,駭客就可以利用該組密碼,進入其他系統。

(3) 不要在公用電腦登入任何雲端系統帳號
無論是Facebook帳密、Google帳密、或iCloud帳密,請不要在公用電腦登入使用。如果公用電腦被埋了鍵盤測錄器,輸入的帳密就會被偷走。

(4) 留意手機APP的自動同步功能

無論Apple或Google 手機作業系統,都有提供照片自動同步雲端功能。如果您不希望照片或影片自動上傳雲端,請記得關閉相關選項。

(5) 不要用手機拍私密照。任何連網的設備,都有風險。一旦外流就收不回來了...

本文由「APP防駭通」提供分享



APP個資淺談-詐騙簡訊如何得知我的真實姓名?

2014年開始,詐騙簡訊不斷在台灣手機流竄。涵蓋四大類的假冒名義:


  • 假冒公家機關名義,例如假冒地方法院、當地警察局、監理所
  • 假冒知名企業,例如假冒7-11中獎禮卷、電信帳單、黑貓宅即便
  • 假冒公共議題民調,例如假冒服貿、核四議題的投票表達
  • 假冒友人名義發送,例如聚餐照片、自拍照片、偷拍照片、幫買遊戲點數等等


簡訊都會附上一個詐騙的短網址,有時會連手機使用者姓名也附上。如果沒看過詐騙新聞,極容易看到「有自己姓名」而上當,而點該連結。


網友王大明事後回想,會起疑惑,是不是電信商洩漏了自己個資?還是在哪個網站購物時,個資外洩造成?甚至上網呼籲該傳送簡訊的電話號碼是詐騙電話?!

從技術上看來,要造成此種攻擊的最容易原因是這樣:詐騙駭客先撈走了王大明友人張小華的手機通訊錄,傳送到遠端的詐騙駭客伺服器,接著再利用路人甲的名義,發送回給王大明。



路人甲與王大明不認識,因此簡訊APP並不會直接解析"路人甲的手機號碼為姓名",剛好讓王大明以為真的是「知名企業或者是公家機關」所發送,然後又帶有自己的真實姓名,更堅信是真的內容。



[手機用戶如何自保,不讓己身個資外流?]

很殘酷的說,極難!王大明的個資外流,是因為友人張小華手機被駭導致。但王大明並不知道、也無法限制任何友人不把其個資加入通訊錄。

從Android的開發技術角度來說,要拿到使用者的通訊錄資料非常容易。稍有經驗的開發者,不用1小時,就可以寫出將通訊錄資料撈出,並且傳送到遠端伺服器的APP。

一個會撈出使用者電話、姓名的APP,可能是正常的應用需求,但也有可能有惡意的不知明原因,而蒐集到遠端伺服器。

從這邊也可以看出另一個資訊安全的技術特性:手機的APP防毒防駭不可能做到事先預知,也不可能透過任何的安全標準檢測,可以在事先就得知這款APP是否為惡意程式。因為同樣的拿通訊錄權限,是否為惡意程式,取決於APP開發商"後續"如何利用,而極難以當時檢測到的技術特徵來做判別。

從王大明角度,可以做的處理:
1. 可熱心的傳送簡訊給路人甲,告知其手機被駭了,減少其他受害者。
2. 將詐騙簡訊刪除,不要再點短網址連結。

王大明不需要做的處理:路人甲本身是個真實的受害者,因此,若王大明若將之標示為詐騙電話或垃圾訊息號碼,並沒有特別的意義。


如果多數的使用者,有養成好習慣,可避免當下一個張小華或路人甲。在Google Play 下載APP前,可看到提示權限,使用者在這裡可為自己把關。正常的APP,如果功能上具有真得拿到通訊錄的需求,是可以被接受的。





或使用可判讀APP權限的工具,來得知哪些安裝過的APP具有讀取通訊錄的權限。依照其功能性來判斷拿取通訊錄的合理性。





本文作者為APP防駭通資安研究員Wei,曾獲Google 舉辦首屆Android全球競賽得獎、Google Application Security 官網頒發Reward Recipients與 Honorable Mention ,另具有ISO 27001 Lead Auditor。開發之Android Apps 總計超過700萬下載量。



接獲詐騙電話不用怕, Call Saver APP幫你錄音下來

“接獲詐騙電話不用怕, Call Saver APP幫你錄音下來!”  

民眾有時接獲不明電話,有時難以判斷真偽,一款APP「Call Saver 客服省錢通」 看中這項需求,設計一項功能,接通電話前可選擇「即時錄音」,後續可將通話備份email 給友人幫忙判斷。  

這項功能,可延伸應用在上班族生活,外出時,接到客戶或者公司來電交待處理事項,若手邊沒有紙筆紀錄很麻煩,用這項功能就可以後續重新聆聽,讓重要事項不漏接。  

「Call Saver 客服省錢通」是一款台灣研發的熱門 APP,按撥號鍵後,自動送出客服的層層代碼,直接找到銀行的真人客服,可節省通話時間,也節省通話費用。收錄台灣千萬民眾常用客服電話,包含:銀行、電信商、保險產險、計程車、道路救援、生命關懷、網購宅配、旅遊休閒娛樂、公義申訴等專區。APP提供撥打客服即時錄音功能,將客服人員交待的重要處理步驟紀錄下來,後續再重新播放即可。如果有些跟己身權益特別有關的重要事項,透過此機制保存通話紀錄,也十分便利。 「Call Saver 客服省錢通」在Google Play 提供免費下載: http://play.google.com/store/apps/details?id=cc.callsaver 







最新手機簡訊、Line、FB詐騙手法


以下是近期假冒企業或機關名義的詐騙電話或簡訊,如果有新的詐騙簡訊內容,歡迎留言告知。


  • 7/24:您好,您的訴訟回執單【台北地院】 http://goo.gl/XXX 這是假冒法院的詐騙簡訊!會引導至dropbox下載惡意程式
  • 7/15:7-11送你800電子禮卷,使用期限七日,不可找零不可兌現金,禮卷下載地址 https://db.tt/XXXX  這是假冒7-11的詐騙簡訊!
  • 7/14:您好,您的電信賬單催繳通知 http://goo.gl/3btfA 這是假冒電信商的詐騙簡訊!
  • 6/14:XXX, [新北市政府警察局]您的案件處理結果通知單 http://goo.gl
  • 6/14:XXX, 上次聚會的照片,你存檔一下 http://goo.gl
  • 6/12:您的門號有簡訊詐騙嫌疑,請到警局協助調查,案件查詢58634 查詢電子單 http://goo.gl 這是假冒警察局的詐騙簡訊
  • 6/11:您好:您的汽機車有交通罰單逾期未繳納,查一查自己有無莫名奇妙被照相或罰款紀錄,查詢下載 http://goo.gl 這是假冒監理單位的詐騙簡訊
  • 6/6:您好先生,歡迎您使用電子帳單服務,您的電信本月應繳費賬單,查詢 http://goo.gl 
  • 6/6:XXX, 你再不答應我的要求,我就把相片曝光了 http://goo.gl 
  • 6/6:您的民事賠償訴訟通知單.[台北地院] http://goo.gl 這是假冒法院的詐騙簡訊
  • 5/30:XXX, 上次聚會的相片,你存檔一下→http://goo.gl 這也是假冒朋友發送的惡意app
  • 5/25:尊敬的客戶您好,您的手機正在申請6800元的網絡支付,如非本人操作請加載電子憑證確認取消 http://goo.gl/XXXX 
  • 5/23:OOO女士,您正使用電信帳單付款!本次購買金額1000元!若非本人操作直接取消 http://goo.gl/XXXX 直接利用小額消費警語的詐騙簡訊新手法!!
  • 5/21:ooo先生,您的電信本月應繳費賬單。查詢電子賬單http://goo.gl/XXXXX  。這是首度假冒電信商名義發送電子帳單,請大家小心!
  • 5/20:XXX ,親愛的會員您好,您所購買的商品已送達【興貿門市】寄件代碼。http://goo.gl/XXXX 。此段為假冒超商取貨的名義。
  • 5/19: 「請確認24小時內,當您懷疑您尚未確認,系統會自動關閉您的Facebook帳戶永久使用。 請確認您的Facebook 帳戶通過點擊下面連結: http:// acounts-suspended.meximas.com/security-accounts/XXXXXX 謝謝您幫助我們改進我們的服務。 趕快註冊 Facebook 安全 趕快註冊 Facebook 2014版權所有網絡公司保留所有權利」如果接獲上述臉書狀態訊息,請不要點選連結,那個是詐騙您臉書帳號密碼的釣魚網站.. 


  • 5/16:XXX 先生,保時捷後排太小了嗎?河濱公園正妹車震不關門!內附套圖! http://goo.gl/XXXX (點選連結後,會引導到下載"內附套圖.apk"的惡意程式!)
    5/15:太陽花反服貿!全民反核四!街頭意志越加壯大,百萬「紅衫軍」會不會再現?扁政府賴權,馬政府低頭,如果執政部門不能滿足民眾訴求,下一次,你是否會走向街頭,參與臉書投票,表達真實意願!http:vote.tw.am/XXXXXXXXXXXXXXX 大嘴鄭重公告,上一輪投票中,54.1%的民眾選擇"徹底停止核四建設"感謝表明態度的你! (這項簡訊來自中國大陸駭客,會將您的真實身份與真實民意做對應收集,請務必小心)
  • 5/13:恭喜你獲得7-11禮券1000元請下載領獎單據https://db.tt/XXXXX 領收.可直接加值於7-11發行之icash卡
  • 5/12:尊敬的客戶您好,您的手機正在申請網絡支付,如非本人操作請加載電子憑證確認取消 http://goo.gl/XXXX
  • 5/11:XXX您好,您有一件包裹簽收單電子憑證請查收。包裹號:3354621001 黑貓宅急便 http://goo.gl/XXXX
  • 5/10:利用Line或FB朋友帳號,請您至超商購買點數,將認證碼傳給對方,皆屬對方帳號被詐騙駭客盜用,建議打電話通知被盜用的朋友。
  • 5/10:獨家專人收錄中港台人氣網絡靚女APP每天在線更新 http://goo.gl/XXXXX 
  • 4/28自由時報報導-「民眾接到朋友傳來LINE訊息或簡訊,宣稱剛辦一支0809新門號,要求協助用手機撥打測試,警方表示,這是新詐騙手法,該0809號碼為拍賣網站的申請帳號認證電話,民眾一撥通就等於確認申請帳號,詐騙集團將申辦帳號用來犯案,民眾則間接變成假賣家!」
  • 2014/4/23:您正在申請網上支付103年x月電費共計XXX元,若非本人操作,請查看電子憑證進行取消 http://goo.gl/XXXXX
  • 2014/4/20:「黑貓宅急便通知您,您的快遞請簽收 http://goo.gl/xxxxx」
  • 2014/3/16:「您的快遞簽收單,收件電子憑證 http://goo.gl/XXXXX」