若你沒把信用卡號背熟,在進入刷卡網頁時,你可能需要從錢包掏出信用卡,逐個輸入號碼。有些人為求省事、方便,會直接把信用卡資訊儲存在筆電、桌電或手機裡,但網路安全專家表示,這是絕對不該做的事情。
網路安全服務公司Fortalice Solutions戰略長歐蕾莉(Melissa O’Leary)表示,「把信用卡資訊儲存在瀏覽器裡可能很方便,但若你的裝置遭到入侵,就會暴露在一連串風險當中。」
「你儲存起來的付款資訊,會成為網路罪犯輕易下手的目標。」
曾經擔任白宮行政辦公室負責人首席幕僚的歐蕾莉,與其他專家一同解釋你的信用卡資料會如何失竊,以及如何保護自己。
詐騙會怎麼偷你的信用卡資訊?
若你把金融資訊儲存在瀏覽器,駭客有超出你能想像的各種方法可以偷走你的信用卡或簽帳卡號。以下是幾種最常見的做法:
‧偷走你的手機、電腦或筆電:
不管你再怎麼小心,這些東西還是可能會失竊,這是偷走你儲存資訊的簡單手段。
Point Wild科技長、網路安全專家拉姆詹(Zulfikar Ramzan)表示,「如果壞人取得你的電腦,不需要是犯罪天才也可以偷走你的付款資訊。」
‧用公用Wi-Fi網路取得你的資訊
在咖啡店或是圖書館工作的時候,要注意一件事,那就是公用Wi-Fi網路並不安全。別人可以透過公用網路進入你的電腦。
‧使用惡意軟體或間諜軟體
他們可能透過網路釣魚手法、網站、直接連進你的電腦及其他手段,神不知鬼不覺地把這些軟體安裝在你的筆電裡面。
‧透過資料外洩和駭客攻擊竊取資訊
歐蕾莉說,「我見過一些案例,受害者儲存的信用卡資訊在資料外洩事件中被盜,等看到信用卡帳單的盜刷交易時才發現。」
「我也見過另一種不幸的情況,是有人把個人銀行資料存在公司的裝置裡,然後外洩,而處理這些爭議交易和重新取回帳號的過程很耗時間又令人沮喪。」
‧利用「憑證填充攻擊」或接管帳號
所謂的「憑證填充」(Credential Stuffing,也稱撞庫攻擊)是一種網路攻擊,從某項服務的資料外洩獲取憑證(或用戶名、密碼、電子郵件等等),用來嘗試登入另一個無關的服務。
例如駭客可能會入侵大型百貨公司,取得使用者名稱和密碼清單,使用相同的登入憑證來嘗試登入銀行網站,希望同時擁有被駭百貨與銀行帳號的受害者,粗心大意地使用了相同的使用者名稱和密碼。
由於黑市交易中有大量憑證外洩,憑證填充已普遍存在,再加上可以使用機器人繞過傳統登入保護,使憑證填充成為大受歡迎的攻擊手段。
由於網路瀏覽器會把資料儲存在多個地方,駭客可能不費吹灰之力取得這些資訊。
如何保護自己?
歐蕾莉建議主動採取反制措施,確保帳戶安全。
專家的建議是:
‧停止把信用卡資訊存在裝置裡
你最簡單也最好的選擇,就是永遠不要按下「儲存」鈕。你還是可以用手機或筆電買東西,但每次都要一個數字一個數字輸入信用卡號。
「當你手動輸入卡號,風險就只存在交易期間,」拉姆詹說,「但如果你把資訊儲存在瀏覽器中,風險就一直存在。」
‧用更安全的方式儲存資訊
與其存在瀏覽器裡,拉姆詹建議使用專門的密碼管理工具,用加密工具儲存密碼。
他補充說,銀行常常提供虛擬或代碼化的卡號,這些卡號如果被破解,可以立刻輕鬆停用,保護你的主帳號安全。
另一個選擇是把資訊存在蘋果錢包Apple Wallet裡。
芝加哥聯合銀行(ABOC)資安長麥斯威爾(James Maxwell)指出,「Apple Wallet會把資訊經過強力加密,存放在你的iPhone、iPad或手表裡。」
「Google錢包做法相同,但可能會把更多資訊存在自家雲端,使你的數據比較容易遭受攻擊。」
不過如果你的手機被偷,那就沒輒了。
‧啟動兩階段驗證(2FA)
系統會要求兩種方式做驗證,例如輸入密碼後,再傳送驗證碼到手機,讓你輸入。
歐蕾莉建議不論你的金融資訊儲存在哪,都啟動兩階段驗證。
‧仔細檢視銀行帳單
定期檢查你的帳單,最好是在網路上,就能比紙本帳單更頻繁檢查,及早發現可疑交易、處理問題。
‧安裝聲譽良好的防毒軟體
這樣一來,你就可以在惡意軟體入侵前搶先封殺。企業常用的軟體是McAfee和Norton。
拉姆詹鼓勵經常更新你的瀏覽器和手機。「很多攻擊利用的弱點,可以透過一次簡單的更新來補強。」
‧下載、點擊時要小心
拉姆詹建議,下載來源不明的檔案、點擊來源不明的連結時,要非常小心。尤其是彈出視窗、免費軟體或「系統修復」類的廣告,都是駭客常用的手段。
還是很想在瀏覽器儲存信用卡資訊怎麼辦?
‧只存一張卡
這樣一來,就算出事,你也只需要擔心、停用、取代一張卡,也更容易偵測可疑交易。
‧存信用卡
拉姆詹指出,不是所有支付卡的安全和追討權都一樣。信用卡通常防詐保護最強,禮品卡最弱,而簽帳卡則介於兩者之間。
