防駭客的基本認知：資料保護

駭客從攻擊中收集與整理出有用的資料是很花時間的，如果沒有把這些資料換成錢駭客也是會餓死，所以這篇文章以謀利的角度，舉一些常見的例子來說明駭客如何利用外流的資料與對應的影響。

但想不在網路上留下任何資料非常困難，所以文章最後也會提供一些防範方式與建議供大家參考。

網路上常外流的資料

先假設世界充滿惡意，拿到個人資料都是為了惡意用途，但很多狀況下不得不留下資料，最常見就是申請帳號才能使用的服務，申請帳號有一堆必填的欄位，個人資料就這樣拱手讓人。

除了個資之外，還有一些系統資訊常常在不自覺的狀況下外流，最常見的就是Google提供的廣告。當你發現網路上跳出的廣告其內容與你越來越相關，甚至在一些外文的網站看到中文廣告時，代表你的資料早已外流，大家都認識你了，而且隨著外流的資訊量越多，廣告也會越加精準。

綜上所述外流的資料可分為2大類，分別是個人資料與系統資訊，下面列出一些常外流需要注意的資料。

1. 個人資料：舉凡姓名、出生日期、電話、地址、電子郵件、信用卡和身分證字號等。
2. 系統資訊：IP、應用程式與版本和瀏覽資訊等。

外流後會發生什麼事？

駭客收集到越多的資訊，就能發動強度越高的攻擊，收集到個人資料中的聯絡資訊就能藉由發送廣告或詐騙來獲利，如果要入侵對方的電腦只有聯絡資訊是不夠的，需要更多的系統資訊。

資料外流的例子有非常多，根據IC3（FBI旗下的組織，美國最大的資安通報系統）提供的報告，在2020年造成金額損失最多的網路犯罪是BEC/EAC（透過電子郵件對匯款或付款資訊進行詐騙），細節可參考之前整理的另一篇文章《資安弱點會造成多大損失》。

因此這邊除了說明影響之外，也以電子郵件為例來說明資料外流後可能會發生的狀況，並且找一個真實案例的新聞，來幫助大家了解現實生活中這些事情如何發生。

類型1：廣告

不論你今天在任何網站上留下電子郵件訊息，最容易受到影響的就是開始大量收到廣告郵件，因為駭客已經將聯絡資訊賣給電商了。

實際新聞案例：《傳駭客以僅1千美金網上兜售5億筆微博用戶個資》

類型2：詐騙

接著駭客拿電子郵件到Google上面查詢，找到你留在網路上的個人訊息，駭客便會嘗試根據這些資訊設計釣魚郵件，想辦法從你手上騙錢。

實際新聞案例：《31億美元不翼而飛的慘痛教訓！企業員工郵件屢遭冒用，引發供應商匯款詐騙事件》

類型3：盜帳號（盜刷）

簡單來說當你外流的資料包含服務類型，駭客們會挑選有利可圖的服務來攻擊.

很多時候這些服務資訊是間接外流的，舉例來說如駭客找到你的電子郵件後發現你用的是Gmail，就代表著你有用Google的服務，駭客會嘗試登入你的Google帳戶，目標是刷爆你的 Google Pay。

實際新聞案例：《有不肖份子收購外洩帳密，嘗試非法登入國內多家電商網購平臺，東森5會員遭盜刷》

類型4：入侵

如果你的系統本身有弱點而且被駭客收集到這些資訊，就很可能成為入侵的對象。但更常見另外一種方式是，駭客將惡意檔偽裝成一般檔案來騙使用者點擊，像是在網站上提供下載，或者夾帶在電子郵件的附件中，執行後駭客直接就入侵到使用者的電腦，這時候駭客獲利的方式就很多樣了，常見的勒索軟體，殭屍網路，甚至是挖礦都能替駭客賺錢。

偽裝檔案這件事比想像中簡單很多，而且很容易被忽略。以下圖為例，仔細一點看可以發現這是一個名為「test_lmth.txt」的html檔案，但如果沒有特別注意當成文件檔來點擊，就直接連到駭客的網站去了。

實際新聞案例：《散布金融木馬IcedID、Qbot的垃圾郵件攻擊再度出現，在中國、印度等地造成災情》

不知不覺中外流的資料

有一部分外流的資料是使用者主動提供的，像前面提到的為了註冊帳號而提供資料，或者是被釣魚攻擊騙走資料，甚至是服務供應商不小心把資料外流等等，不論是哪一種使用者都至少會有一次提供資料的動作。

但有另外一部份的資料是使用者在不自覺的情況下外流出去的，因為前者主要涉及騙術而非技術，這邊會把重點放在後者的說明。

1.瀏覽網站

Request Header：
其實我們在瀏覽網頁的時候，瀏覽器早已不知不覺留下了很多資料。

以Chrome為例，這些資料需要按F12進入DevTools才能看的到，其中有一組在request header中的資料「user-agent」原本是用來讓網站知道瀏覽器的版本以提供更好的服務，但網站可以藉此推斷連線者的系統，另外一組「sec-ch-ua」也是一樣，像下圖可以明顯看出系統為windows 10，其他header依據狀況不同也會透漏各種系統資訊。

部分網站除了記錄你的瀏覽資訊之外，還把這些資料送給其他網站。

以下圖為例，聯合新聞網把你看過那些新聞告訴了很多人，其中之一是廣告商Scupio酷比聯播網，這些資訊也可以在DevTools中找到。

有些網站本身就帶著惡意的程式碼，當使用者進入的或點擊按鍵，資料就會被攻擊者送到特定的地點。

下方的程式碼是一個比較常見於XSS攻擊的簡單例子，在點進有這段程式碼的頁面時cookie內的値就會被駭客傳送到111.222.333.444這個IP。cookie是很多網站用來識別連線者的一個欄位，如果你在登入A網站後cookie才被偷走，偷到它的人有很高的機會偽冒你的身份登入A網站。

2.收信

惡意HTML/JavaScript：
電子郵件接受跟網頁一樣的html格式，點開html格式信件的行為接近於開啟一個離線的網頁，所以電子郵件也跟網頁一樣會受到惡意HTML/JavaScript」所影響，在不經意間外流資料，但前面已經提過就不重複說明。

3.自架服務

網站：
如果有自架的網站，網站也會在你不注意的狀況下透漏相當多資訊。

以下圖為例，利用Chrome的套件Wappalyer可以很簡單知道這個網站用了哪些服務與版本，駭客透過這些外流的資料往下追，可以發現Apache 2.2.26這是一個相對舊的版本，大約是2013年發布的，有較多的弱點可以利用，這些資訊會吸引駭客進一步嘗試或攻擊。

常見的像是自架的FTP伺服器，架完後較少維護，更少去注意資料是否外流，這些檔案傳輸伺服器駭客都找得到。光台灣就有6萬多台設備可以直接在網路上被找到，如果沒有做好設定，資料外流的機會非常高。

如何保護自己？

在這網路世界蓬勃發展的時代，如果因為怕避免資料外流而不敢在網路上留下任何資料，可以說是因噎廢食，但如何保護關鍵資料避免損失？

解決方案1：安全性設定

當Windows出現資安問題時，微軟比你還緊張，其他服務也是一樣的道理。

為了保護自家產品的安全開發商通常做了很多保護，這也是很多軟體常常會跑更新卻沒感受到新功能的主因，其實更新的是系統防護，但使用者常常不更新，甚至還為了方便把預設開啟的防護關閉，這些防護很多時候比防毒軟體還重要的多，這邊分享一些與資料外流有關的安全性設定，但確實更新也一樣重要。

瀏覽器（Chrome）：
安全性與隱私權設定 > 安全瀏覽 > 強化防護
安全性與隱私權設定 > Cookie和其他網站資料 > 封鎖第三方Cookie
安全性與隱私權設定 > Cookie和其他網站資料 > 將「不追蹤」要求與瀏覽流量一併送出

電子郵件（Outlook）：
信任中心設定 > 電子郵件安全性 > 以純文字讀取所有標準郵件
信任中心設定 > 自動下載 > 不自動下載標準HTML電子郵件訊息或RSS項目中的圖片

解決方案2：雙重要素驗證（2FA） / 兩步驟驗證（2SV）

網路上常見的是帳號密碼加上另外一個認證機制，像是登入時除了帳號密碼之外，還需要一組寄到手機的驗證碼，就算你帳號密碼被駭客拿到或猜到，沒有連你的手機一起偷走就沒有意義，但這類功能會增加使用者的麻煩，不是每種服務都預設有多重驗證，很多時候需要使用者主動啟用或申請，強烈建議所有與付款有關的服務都要開啟。

2FA（two-factor authentication）與2SV（two-step verification）的差異在於多出來的驗證類型是否與原本的相同。舉例來說除了原本的帳號密碼之外，某服務需要輸入身分證末4碼做為第2組密碼，但因為本質還是密碼所以只能算是2SA，如果需要額外加上的是指紋，就能算是2FA。

Google帳戶：
帳戶 > 安全性 > 兩步驟驗證

解決方案3：假帳號

目前網路上越來越多服務用電子信箱當帳號，這邊推薦一個相當好用的工具軟體來建立免洗帳號，避免收到垃圾信或者有人嘗試破解你的信箱，這個工具會隨機產生一組可以收信的電子郵件，而且會在10分鐘後永久刪除，不用擔心裡面的資料會外流。

解決方案4：防護軟體

雖然慢慢開始有些網站會在收集你的資料之前通知你，但還是很多網站偷偷收集你的資料，這邊推薦一個相當好用的Chrome套件來幫你阻止一些追蹤，其實這個工具已經在前面的範例中出現過了。

• Disconnect：圖中紅色禁止符號的部分都是已經被擋掉的追蹤，基本原理是移除網頁中一些不影響運作的回傳値。

• Shodan：這工具主要是快速檢查你外流了那些系統資訊，下圖是在Shodan的搜索結果之一與用到的指定，可以看到除了系統資訊以外連帳號都外流了。port:3389 country:”TW” os:”Windows 7 Professional”

總結

很多人在不知不覺中外流了不少資料，卻覺得不痛不癢，覺得駭客不會找上他，其實只是駭客不確定花時間攻擊你能不能得到足夠的回報，就像小偷做案前會先確認目標是不是有錢人、有沒有裝監視器或防盜等等。

防止資料外流的概念很接近現實生活中「財不漏白」的概念，刻意在路上炫富不一定會有事，但警察一定會建議你不要這樣做，除非你早就做好準備，背後跟著一堆保鑣。

個人資料中最優先保護的是與付款有關的資料（ex.信用卡），如果需要在網路上留下付款資料，最好先確認該服務有沒有支援多要素驗證，雖然多要素驗證多一個步驟使用上比較麻煩，但對駭客來說麻煩更大，多數狀況下是當麻煩到會讓駭客放棄攻擊你的程度，就代表這個防護方式是很有效的。

系統資料中最優先保護的是IP，一般用戶預設使用浮動IP所以就算外流影響也不大，因為較難靠浮動IP連到你的電腦，所以除非你已經做好保護，否則盡量避免為了自架服務而改用固定IP，讓駭客無法找上門就不用擔心門被攻破。

網站的話資料外流的方式比較多樣，除了示範的方法之外還有非常多，建議先以自動化的工具進行檢測，優先確認外流的資料是否與已知的高風險弱點有關，並修正與弱點有關的問題，如果無法立刻修正，至少想辦法把版本資訊藏起來。

前面為快速說明原理，挑了一些簡單易懂的方式來示範，實際上還有更多更進階的用法，如果閱覽數量夠多，之後會再加開一篇分享一些更進階的用法與經典案例，有任何資安方面相關的問題都歡迎留言討論，或者直接到Cymetrics尋求協助。

本文由Nick授權轉載自其Cymetrics Tech Blog

文章來源