網路的便利性,讓金融業務漸漸搭上線,除了有網路銀行、網路購物外,連投資活動也可以經由網路來進行。但卻有種木馬程式會記錄使用者敲鍵盤時的順序與動作,進而達到竊取帳號、密碼目的,因此許多從事網路金融交易的業者,都推出「動態鍵盤」,企圖讓民眾交易時更安全,但真的是如此嗎?答案卻不盡然!
過去惡意程式主要都是透過更改程式碼「惡搞」,所以網友在進入網站首頁時,很明顯就會發現有些地方不同,因而提高警覺。但現在新興威脅是所謂的「殭屍網路」、「偷渡式下載(drive-by download)」等,它是透過破壞知名網站,然後在民眾不知情的情況下造訪時,直接將惡意程式植入到使用者瀏覽器中。
台灣賽門鐵克資深軟體工程師王世煜表示,這種破壞最恐佈的是,駭客操控的網頁與網友平常看到時一模一樣,不會發現任何異狀,所以當使用者以為這個網站跟以往一樣安全無疑時,所鍵入的帳號密碼,其實都已經被駭客知道。
所以即使民眾使用動態鍵盤,各按鍵以隨機方式排列每次都不同,但因為進入的網站本身就有問題,所以不管在做怎麼的保護,個人資料遭洩密的危險性還是相當高。
王世煜舉例說明,像今年美國超級盃舉行前,邁阿密海豚隊官方網站就踴入許多民眾瀏覽,但事實上該網站早在2天前就被駭客入侵,外觀卻完全無法察覺有任何異狀,民眾只要進入,立即就會被自動下載一個側錄鍵盤程式到使用者的電腦,竊取所有帳號和密碼。
因此,新一代的防毒軟體已經開始對瀏覽器進行防護,可以規避傳統檔案型、網路型的偵測技術攻擊,確保網友打開每一個網頁都是最安全,不過目前只能適用於微軟的IE瀏覽器。
而且該防毒軟體還增加「帳號密碼管理及防護」功能,在使用者進行線上購物、網路銀行時,能將密碼和其他機密資料儲存並加密,當民眾需要使用時自動地擷取,不僅節省時間,還可以保護這些資料,不被鍵盤側錄程式所竊取。
另外,根據最新一期賽門鐵克全球網路安全威脅研究報告中指出,有65%的惡意程式碼是針對竊取個人資訊而來,且地下經濟伺服器的統計也顯示,最常被販賣的身份資料不外乎有身分ID、線上付費服務、銀行帳戶等,尤其銀行的帳號價值更高達30~400美金。
王世煜就認為,每家銀行的網頁究竟安不安全,現在民眾從外觀上,根本無法判斷,因此要做到最周全保護,還是建議要安裝效果最佳的防毒軟體,並定時更新,才能無憂無慮享受網路的便利性。
