駭客蠢蠢欲動,首次手機報稅小心主動獵殺、請君入甕攻擊

作者 | 發布日期 2021 年 05 月 03 日 14:55 | 分類 科技生活 , 網路 , 資訊安全 Telegram share ! follow us in feedly


五月報稅季來臨,駭客面對民眾報稅的敏感資訊蠢蠢欲動,而今年新推出了手機報稅功能,民眾更該提高警覺,避免報稅不成反被駭。資安專家提醒,民眾採用手機報稅時,應秉持線上報稅前、中、後三大安全要項,才能保護個資並避免詐騙。

KPMG 安侯數位智能風險顧問公司董事總經理謝昀澤表示,近年最常見的手法包括「主動獵殺」與「引君入甕」兩大類型。前者像今年美國報稅季時,出現利用稅務名義釣魚郵件發動木馬程式攻擊,駭客更利用迴避偵測手段來規避防毒軟體,以竊取報稅人敏感資料。後者則像之前香港的「毒新聞攻擊」事件,藉由報稅、疫情等聳動標題暗藏惡意程式,引誘讀者點選新聞連結。

謝昀澤進一步說明,今年新增的「手機報稅」,是免 APP、免讀卡機、免印表機的「三免」行動方案。民眾如果使用這新的方式報稅,不需要下載額外的 APP 或其他程式,可以降低誤載惡意程式的風險。然而,報稅期的惡意程式,常常透過偽冒的報稅軟體、公共網路、退稅通知等方式傳布,因此民眾一定要秉持線上報稅前、中、後三大安全要項,才能保護個資並避免詐騙。

首先在使用前,需用手機瀏覽器須直接搜尋點選官方報稅網站「財政部電子申報繳稅服務網」,避免誤入其他偽冒的釣魚網站。而使用中要透過家庭或公司安全網路進行報稅,避免使用公用網路;至於使用後,則需詳查退稅通知相關的郵件、簡訊、電話等,不理會來路不明的退稅通知。

KPMG 亞太區政府領域資安主持人邱述琛則說明,在報稅時,也可從幾個方式進行手機自檢,看是否有被植入惡意程式。像是檢查是否有安裝近期資安新聞所揭露的惡意 APP,或非來自官方 APP 市集軟體;檢查作業系統與 APP 是否更新至最新版本;檢查是否有異常網路使用流量;檢查是否有異常帳單金額;檢查是否有手機異常耗電;以及檢查 APP 是否有要求過多個資蒐集或其他不合理的權限等。

邱述琛強調,手機是否有被植入木馬程式,通常需要專業實驗室的資安專家以科技工具進行深入檢測。若真不幸被入侵,手機或行動裝置千萬不要進行自行破解,除可避免行動裝置原生作業系統安全防護遭瓦解外,也可有效防護惡意軟體非法存取敏感資料。

(首圖來源:pixabay