使用電子郵件地址作為使用者名稱,已成為網路服務的常態,而在大多數情況下,使用者若想存取網路服務,只需要輸入電子郵件地址,接著設定密碼就能搞定。
時至今日,有些網路服務選擇完全取消關於密碼的設定,讓使用者只需透過電子郵件地址,以及發送到該信箱的一次性驗證碼,即可註冊或登入帳號,還有些平台直接允許使用者將帳號,連結至 Google 或 Apple 帳戶進行註冊。
當我們在各類網路服務中瀏覽、購物,以及申請和註冊帳號時,電子郵件地址早已悄然成為使用者在各個平台的身份標識。
雖然透過電子郵件地址登入網路平台看似方便,但它卻有個問題經常令人忽略的問題,那就是電子郵件信箱並不僅僅是個「服務入口」,它還是蘊藏著大量使用者敏感資訊的「隱私寶庫」,同時又跟大部分民眾日常生活中,常態存取的網路服務息息相關。
當「電子郵件信箱」成為一切樞紐
我們習慣透過電子郵件接收一次性驗證碼、確認登入操作與重新設定密碼,同時大多數人也會利用電子郵件跟他人進行溝通;發展至今,幾乎人人都擁有的電子郵件地址,已經不再是某一個網路服務平台的使用帳號,而是更像一個核心樞紐,串聯起數位生活的各種面向。
然而很多人並沒有發現,每當自己使用電子郵件登入某項服務時,便等於是將另一個帳戶,直接跟電子郵件帳戶進行連結,當越來越多網路服務與同一個身分綁定,一個電子郵件信箱便成為了串聯起所有服務的樞紐。
這種「一個帳號串連起另一個帳號」的結果,就是使得單一電子郵件帳號,同時掌握了對許多不同網路服務帳戶的存取權限,即便這些帳戶所提供的功能,彼此之間並沒有任何關聯。
當平台帳戶之間變得環環相扣,假若某位有心人士,意外取得了他人的電子郵件帳號存取權,便能利用正規流程,重新設定多個網路服務的密碼、確認登入及驗證電子郵件地址,存取那些先前被成功連結的不同服務。
此外,有心人士還能透過入侵電子郵件信箱,取得大量使用者個人資訊,包括醫療紀錄、財務資料、地址、聯絡人及私人通訊內容,若再利用針對性搜尋,有心攻擊者還可以揭露資料模式、找出敏感資訊,甚至有助於推測出其它服務的潛在密碼,建立起更有效的攻擊路徑。
電子郵件遭駭的實質威脅
網路安全公司 Guardiance Group 創辦人 Reut Hackmon 就指出,近日他們協助處理了一宗,客戶信用卡帳單上出現不明交易的案件;雖然信用卡盜刷並不算是罕見案例,然而這起案件的背後,卻有著不同尋常之處。
該筆交易與當事人約一年前居住過的小鎮有關,消費內容是張高價的演唱會門票,購買管道則是一個他們乍看之下毫無印象的網站;但經過仔細回想與查證後,當事人才發現自己很久以前確實用過該網站一次,只是後來就遺忘了。
Reut Hackmon 解釋,資安調查團隊最後發現,當事人先前在該網站登入時,使用的是「電子郵件搭配一次性驗證碼」,既不需要記住密碼,也不用管理帳號,只要快速登入便能直接消費。
當調查團隊把盜刷線索串聯到前述的登入方式後,焦點隨即轉移到了客戶的電子郵件信箱上。
調查團隊推測,假如有人可以進到他們的電子信箱,無論是透過破解密碼,還是利用常見的「忘記密碼/帳號恢復」流程來繞過限制,駭客都能輕易申請到登入驗證碼,順利進入該網站進行消費,完全不需要其他權限。
拼湊生活軌跡,展開精準攻擊
Reut Hackmon 的調查團隊詢問當事人,確認他們使用的電子郵件帳號,是否曾啟用過「多重要素驗證(MFA)」功能時,當事人對這個概念完全陌生。
Reut Hackmon 說,此時真正令人感到擔憂的問題,已經不再只是信用卡被盜刷,而是當事人的個人資訊,可能已經遭到嚴重外洩。
Reut Hackmon 直言,當事人的電子信箱中,累積了多年以來的資訊,包括過去的住址、財務明細、曾經使用過的網路服務,以及各種往來電子郵件,這些資料足以讓駭客拼湊出當事人的生活軌跡,並鎖定更多潛在的下手目標。
此外,當事人的電子郵件地址,極有可能早就出現於過去的個資外洩事件中,讓攻擊者可以將同一個電子郵件,跟多個不同的網路服務串連起來,進而展開精準的欺詐式攻擊。
建議一:務必啟用「多重要素驗證」
為了防止電子郵件信箱成為資安最為脆弱的破口,Reut Hackmon 特別提出了多項重要建議,呼籲使用者透過實踐,保護自身的帳號安全。
首先,Reut Hackmon 強調,為帳號啟用「多重要素驗證」將是最為重要的關鍵,而且不只是電子郵件帳戶,對於任何網路服務與平台,尤其是跟財務、隱私等敏感資訊相關的帳號,全都應該啟用 MFA 功能。
Reut Hackmon 說,許多人遲遲不願啟用多重驗證,主要是由於他們不希望將自己的電話號碼,跟網路平台帳號進行綁定,假若民眾有這類顧慮,不妨考慮改用手機 App 驗證器,比方說 Google Authenticator 或 Microsoft Authenticator 等類似應用程式。
建議二:多組 E-Mail 分類服務重要性
緊接著 Reut Hackmon 給出的另一個建議,就是希望民眾不要只使用單一電子郵件地址,因為這會導致網路服務跟使用者的身分過度綁定。
畢竟,有些網路服務確實具備高價值的重要性,但有些則是可拋可棄,所以民眾不妨考慮採用多組電子郵件地址,對這些網路服務和平台進行分類。
換句話說,使用者應該要根據資訊敏感度,採用不同的電子郵件地址,並建立起自己的使用邏輯,根據服務類型決定使用哪個電子郵件帳號。
但是 Reut Hackmon 提醒,無論如何進行規劃、選用哪一個電子郵件地址,只要註冊了網路服務,全都要記得啟用多重要素驗證功能,保護帳號安全。
建議三:謹慎使用「一鍵登入」功能
面對大多數網站提供的「一鍵登入」功能,Reut Hackmon 認為,使用者應該對此更加謹慎。
舉凡「透過 Google 繼續」或「透過 Apple 繼續」這類選項,雖然可以讓民眾立即連結身分,完全跳過帳戶建立步驟,但卻不應該成為註冊每項網路服務的預設操作。
Reut Hackmon 建議,當使用者點擊了一鍵登入選項後,必須要意識到自己不僅僅是在「登入」,同時也是在授權該服務存取自身 Google、Apple 帳戶中的部分內容,其資訊可能包含姓名、電子郵件地址、個人頭像,有時甚至包括聯絡人名單和其他隱私資料。
換句話說,當使用者選擇使用一鍵登入進行註冊後,絕對不要馬上跳過權限資訊畫面,並且於批准、允許連結帳戶之前,刻意花點時間檢視該服務所請求的完整內容。
建議四:區隔工作帳戶,善用密碼管理器
對於企業經營者,Reut Hackmon 強烈建議,公司應該要主動訓練員工,切勿將商業電子郵件帳戶,應用於任何跟工作無關的用途。
Reut Hackmon 指出,它過去曾經見過許多案例,發現企業電子郵件地址出現在常見的資料外洩資料庫中,因為公司員工往往會將這些帳戶用於個人服務,但這可能會導致企業網域成為有心份子發動攻擊的額外目標。
此外,由於現實生活中的網路服務眾多,Reut Hackmon 指出,善用密碼管理工具不僅有助於民眾的簡化註冊流程,還可以落實「每個帳戶使用不同且高強度密碼」的最佳資安策略。
Reut Hackmon 解釋,大多數密碼管理工具的運作方式都大同小異,使用者只需要設定一個高強度的主密碼,未來管理工具就會自動儲存其它帳戶密碼,並且於使用者登入網站時,自動填入相關憑證;若使用者正在建立新帳戶,管理工具也會主動建議高強度的新密碼。
唯獨要注意之處,在於使用者得選擇一款信譽良好的密碼管理工具,並將其安裝於瀏覽器和手機上,依循後續步驟建立主密碼,再開始儲存現有的登入資訊,逐步更新安全性不足或重複使用的密碼。
建議五:加密敏感資訊,保護數位資產
Reut Hackmon 強調,許多人經常下意識透過電子郵件傳送敏感資訊、文件、財務細節、身分證明或個人資料,這種行為在多個層面上,其實都隱藏著重大的資安風險。
同時,資安風險也不僅僅存在於單一使用者端,畢竟一旦選擇傳送某項內容,民眾便會無法再掌控資訊的流向,比方說發信人、收件人其中一方的帳戶遭到駭客入侵,資料便會直接外洩。
因此 Reut Hackmon 建議,當透過電子郵件傳送敏感資訊時,請避免以明文或一般附件形式傳輸,並改用更安全的雲端連結、企業入口網站下載等方式,遞送關於醫療、財務或其他具備敏感資訊的文件,甚至也可以主動詢問收件者偏好的加密檔案接收方式,達到更安全的資安保障。
Reut Hackmon 提醒,對於大多數人來說,電子郵件地址與信箱,很可能是自己最寶貴的數位資產之一,所以請務必記得給予它應該有的安全保護。
本圖/文由「Techorange科技報橘」授權刊登,非經同意不得任意轉載。
原文出處:電子郵件是駭客入侵的核心破口,改變五個習慣讓你的網路帳號更安全
