時事
2021.05.26 05:58

【實聯資安陷阱多2】「疾管家」遭山寨版冒名 錯刷店家QR code損失大
文/
劉文淵
攝影/
賴智揚

翁睿坤

由民間公司開發的「防疫實聯衝衝衝」傳出民眾個資可能外洩外,中央流行疫情指揮中心本月20日也發出警訊,指有不肖人士冒用疾管署名義,成立冒牌社群誘使民眾加入。相對「防疫實聯衝衝衝」藏有漏洞,唐鳳推的「簡訊實聯制」安全性則沒有問題,但刑事局科技犯罪防制中心主任林建隆提醒,店家將QR Code張貼於店門外,務必不定期檢查,以防遭不肖人士更換,民眾掃描及傳送簡訊時也需注意是否真的傳到「1922」,以免連結到高額付費號碼,讓荷包大失血。


除了實體店面張貼的QR Code,網路或手機出現的QR Code更可能連結到惡意網站,不可不慎。資安專家Bf Chen指出,操作介面雖簡單也容易暗藏玄機,因智慧型手機有自動顯示預覽連結功能,當簡訊成功發送後,惡意連結將自動轉為網站預覽模式,傳送使用者的裝置資訊,駭客就可輕易取得對方的手機資訊。


防疫實聯衝衝衝系統有資安疑慮,22日晚間下架、停止服務。(翻攝畫面)
疫情升溫下的資安風險,除了實聯制,遠距上班問題也很大。曾發現臉書付款漏洞、刪除臉書創辦人祖克柏貼文、入侵高鐵購票系統,被封為「天才駭客」的張啟元,「洗白」後已投入資安工作,目前是新創資安公司「ZUSO如梭世代」的研究員,他提醒公司行號及一般員工,在家上班千萬注意,因為惡意駭客真的無所不在。


台灣駭客年會成立的漏洞回報平台,5月22日出現了資安警告。(翻攝畫面)
他告訴本刊,許多民間企業、政府機關為避免疫情擴散,要求員工在家上班,但透過家中網路與公司電腦系統連結,須考量很多資安問題,公司端系統伺服器應做好權限控管,如不同部門或不同職階的員工帳號,須事先規範與區別,限制登入的系統及可連線的範圍。


行政院政務委員唐鳳設計的「簡訊實聯制」,對疫情管控助益甚大。
為了讓員工在家上班能使用公司內部系統(如ERP)與資源,通常公司會提供虛擬私有網路(Virtual Priavte Netwrok,VPN)服務,讓員工在家登入後,使用如同在辦公室的網路環境,但除了以一般帳號、密碼識別員工身分,也應啟用雙重驗證(Two-Factor Authentication、2FA)機制加強管控。

更新時間|2021.05.26 10:59

相關文章
【實聯資安陷阱多3】上網追劇、看謎片增資安風險 遠距上班3大重點防惡意病毒
【實聯資安陷阱多4】遠距教學4步驟保護孩童隱私 網購平台見2圖示安心買
【實聯資安陷阱多】遠距上班、網購藏危機 資安專家警告:恐掀駭客黑潮
【獨家】【實聯資安陷阱多1】「防疫實聯衝衝衝」使用人數破百萬 疑個資外洩急下架
推薦文章
近 31 日
0 次瀏覽
本訊息有 1 則查核回應
Lin 認為 含有正確訊息
引用自 Lin 查核回應
「疾管家」帳號只有一個,建議民眾可以辨識疾管家帳號左側明顯的盾牌標誌,才不會加入錯誤的帳號。

資料佐證

https://www.chinatimes.com/realtimenews/20210520001767-260412?chdtv

指揮中心提醒加入正確疾管家帳號 勿傳假訊息以免受罰 - 科技

中央流行疫情指揮中心依據19日所公布的政策,在今日9:30舉行記者會。不同於14:00固定的記者會將以疫情現況還有防疫相關政策為主,早上的記者會將會以澄清錯假訊息以及公布與各縣市行政單位的會議結果為主要溝通的內

https://www.chinatimes.com/realtimenews/20210520001767-260412?chdtv

以上內容「Cofacts 真的假的」訊息回報機器人與查證協作社群提供,以 CC授權 姓名標示-相同方式分享 4.0 (CC BY-SA 4.0) 釋出,於後續重製或散布時,原社群顯名及每一則查證的出處連結皆必須被完整引用。

加 LINE 查謠言
加 LINE 查謠言
LINE 機器人
查謠言詐騙