身處在行動裝置幾乎人手一機的世代,透過即時通訊 App 例如 LINE 或是 WeChat 來溝通、娛樂已經是許多人生活中不可或缺的部份,朋友間的聊天、同事間的溝通、上司的要事交辦甚至商家與客戶的線上客服都可透過即時通訊 App 來進行,因為只要一個工具就能有如此廣大的擴散力和影響力,因此不法人士藉由盜用他人帳號對使用者的朋友進行詐欺,由於朋友間的情誼較不易受到懷疑,因此詐騙出現得初期受騙率極高,直到各大網站、報紙及電視媒體報導後才有所減少。
但,事情並未如此結束,即便即時通訊 App 加強帳號安全,但不法人士的詐騙手法不斷精進,加上即時通訊 App 被盜用帳號的情況依然頻傳以至於受騙者不降反增,硬大約莫半年前也曾有過即時通訊 App 帳號被盜的經驗,當時正在參加廠商的尾牙,正在醉意薰心的時候突然接到朋友的電話告訴我帳號被盜,打開該App的時候完全看不出異樣,但聊天列表裡面卻出現一串盜用者用帳號後發出去的詐騙訊息紀錄,頓時酒醒馬上關閉電腦登入權限並取消 Facebook 綁定,同時去更改密碼讓對方無法登入,最後撥電話給朋友一一道歉,雖然沒有造成任何朋友的損失,但對安全性已經有所打折。
另外前陣子詐騙簡訊事件,簡訊裡面的惡意連結單在台灣就有高達78萬次的點擊數,不法人士如法炮製將訊息發佈到及時通訊 App 上,一樣有大量的點擊數產生,要防止帳號被盜或避免被駭,除了自己要有網路安全概念外,也要特別注意即時通訊 App 在安全帳號防護上的設計,假若帳號被盜事件頻傳,那真的要好好考慮選用的適切性,這篇文章我們針對 Facebook 之外擁有較多使用者的 LINE 和 WeChat 來與各位分享他們的帳號安全設計。
[登入]容易破門的家,再美的裝飾及功能都是枉然
不論家裡裝了多嚴密的監控系統,只要一被破門歹徒就能迅速的掃過屋內的財物,當你看到時也只能收拾殘局,無法挽回已經造成的損失,這是生活中不時聽到的消息,即時通訊 App 也一樣。
過去我們曾經寫過不少 LINE 的帳號防盜文,但很可惜的是依然有人被盜用,即使已經做了當下最嚴密的設定,最後斷定被入侵的原因是因為使用 Facebook 第三方登入機制。
LINE和 WeChat 登入方式都有最基本的手機號碼、Email+密碼及Facebook 登入3種方式,但在 Email 登入部分LINE 必須自行綁定才行,WeChat 則另外還有 WeChat ID 登入。基本上透過密碼驗證登入的方式雖然是必要的,但對於帳號安全性來說,一道鎖肯定是不夠,因此很多服務都做了兩步驟驗證的設計,包括 Facebook、Google+ 及 WeChat ,必須輸入第二道密碼才能正常登入,而這個第二道密碼通常來自使用者本身能及時且容易收取到訊息的管道,例如 Email 或手機簡訊,透過第二道驗證機制就算賬戶密碼被突破,要再通過第二關的可能性幾乎是零。
目前 WeChat 若有設定帳號保護的話,當更換號碼登入帳號時使用者必須通過簡訊驗證才能登入,而且同一個 WeChat 帳號只能綁定一組手機號碼,若要變更必須先取消綁定原先號碼才行,而且還可藉此判斷是否為異常登入。
WeChat 變更號碼登入後,App 會要求驗證碼或透過好友頭像來驗證,這個功能機密性相當高,因為盜用者很難知道隨機出現的頭像中有哪幾個才是你好友的頭像(當然,平常也要用心 follow 好友動態才不會錯過他們的新頭像,尤其是那些常用風景或花草作為大頭照的朋友,哈!)
LINE 的登入驗證功能目前僅有換機密碼,設定後只要以不同手機號碼登入 LINE 帳號就必須輸入換機密碼才可登入,但換機密碼推出初期 LINE 官方僅宣導並未強致列入設定項目,且許多使用者為了跨區下載貼圖,甚至連手機號碼都沒有綁定,造成帳號安全上相當大的隱患。
[好友]友誼關係的建立應建立在雙方同意下
咦!好友列表上怎麼多了一個剛接觸過的客戶?原來是因為開放通訊錄給即時通訊 App 自動搜尋對應號碼的帳號而直接把客戶設為好友了,但這樣安全嗎?
對 LINE而言,成為他人好友是不需經過對方同意的,只要你有對方的 ID 或者手機通訊錄裡有對方的號碼,LINE 就會自動配對並直接設為好友且可以直接發訊息給對方,若對方沒有開啟阻擋訊息功能就會收到未經允許的新好友所發來的訊息,這個途徑成為不法人士散播詐騙訊息的漏洞。
WeChat 的設計較為嚴謹,系統預設設為好友時必須經過驗證,即使他人透過手機通訊錄把號碼上傳到 WeChat 配對仍然需要經過你的同意才能成為好友且開放對話,在此之前都無法進行任何訊息交換,相對之下就安全許多,但要特別注意的是,WeChat 將驗證功能設計為讓使用者自行開關的選項,如果選擇關閉的話也要特別留意發送訊息的對象是否為熟識的朋友。
除此之外,為了方便進行線上群組聊天的社群功能,LINE 和 WeChat的聊天室都不需等受邀者同意就能將其加入,但如果在加入好友階段就沒有嚴格把關的話,不法人士就會使用殭屍帳號把清單中的好友一併加入聊天室,並且發送帶有惡意連結的訊息,過去就發生過相當多起類似的詐騙案例,而 WeChat 在這部分就做的相當不錯,不僅只有驗證過的好友才能邀請你加入聊天室,當聊天室內有不認識的成員時,聊天室會提醒你注意安全。LINE 的部分則有阻擋非好友訊息的選項,開啟之後就不會收到非好友傳來的訊息。除此之外,如果想和聊天室中非好友單獨對話的話也必須經過好友驗證才行。
[警示]避免受駭的最後一道防線
萬一朋友帳號被盜後傳來一個網址要你幫他投票,你要不要點呢?(當然是先確認再說)其實不管是簡訊詐騙還是 App 訊息詐騙都會誘導使用者點下詐騙連結,Android 使用者可以用我們介紹過的安全達人或 WhosCall 來即時偵測惡意連結訊息裡面的惡意連結,但是如果這個功能能直接加入 App 裡面不是更直覺嗎!
目前 LINE 的做法是透過 WhosCall 來做到來電號碼和詐騙連結的偵測,但使用者必須自行另外安裝 App 才行。
而 WeChat 的做法是直接整合連結偵測功能,當收到帶有可疑連結的訊息時,訊息下方會出現警示訊息提醒你注意,萬一你不慎點擊連結,WeChat 還會先跳出警告畫面再次提醒,等於提供二道防線。
[電腦端登入]令人難以察覺的入侵管道
LINE 和 WeChat 都提可在電腦上安裝軟體使用,不會受到單一裝置登入的限制,也就是說我們可以同時在手機和電腦上登入同一個帳號,並且雙方都可以同步使用,過去不法人士就透過盜取帳號密碼的方式從電腦端登入使用者帳號發送訊息給被盜者的朋友且完全不會察覺到(硬大就是那個苦主 T_T),我們來看看現在這兩家 App 怎麼做。
LINE 的做法有兩種:QR code及pin code。已 Pin Code 來說,當有人透過電腦端登入 LINE 時畫面上會顯示一組由4位數字組成的密碼,這時 LINE 帳號持有人的 App 畫面上就會要求你輸入這組密碼,輸入正確即可讓電腦端登入,就算帳號密碼被盜用也無法通過第二道 pin code 防護。QR Code 則是直接透過手機端掃描 QR Code 來登入。
WeChat 的做法只有 QR Code 一種,使用者只要透過 WeChat App 掃描電腦端顯示的 QR Code 就能完成登入。
LINE 提供的登入方式雖然多了一種,但因為電腦版的登入界面預設為輸入帳號密碼的方式,所以絕大多使用者還是選擇透過輸入帳號密碼的方式來登入,若電腦版本身的安全防護不夠的話,很容易讓不法人士透過駭客工具截取到帳號資訊。WeChat 雖然只提供一種登入方式,但卻是最龜毛也最安全的,龜毛的是一定要打開手機掃描 QR Code,安全的則是帳號密碼不會被側錄。兩者都提供相當的帳號保護,不過說真的,實際測試後覺得LINE電腦版既然都要打開手機輸入 Pin Code,輸入帳號密碼加上輸入pin code的步驟其實未必比 WeChat 直接掃描 QR Code 的方式來得快速,而且 WeChat在登入電腦版時,App 上會清楚地看到電腦版正被登入的訊息,LINE 則沒有相關提示。
總結
整體比較下來在安全性上的設計 WeChat 明顯比 LINE 來得積極,各方面的防護設計都有為使用者考量也加入了相關警示功能,記得前陣子某次即時通訊 App 帳號被盜事件鬧上媒體版面,官方僅呼籲使用者取消 Facebook 綁定並設定換機密碼,顯見 Facebook 登入方式已能造成某些程度的危害,如此多人使用的 App 開發商卻沒能即時阻斷問題擴大實在相當可惜。
目前許多即時通訊 App 可在線上透過信用卡或虛擬貨幣購買貼圖,一旦帳號被盜用且申訴無門(或無效)的話,使用者所購買的貼圖將全部化為虛有,未來結合金流或小額付費後,帳號安全更需要被嚴密的保護,慎選安全的即時通訊 App 也是使用者本身必須考量的。
關於訊息傳輸的安全性不論在任何時候、任何軟體上都應該儘量避免談論機密資訊(例如機密合約、銀行密碼、信用卡資料…等等),否則就可能如同使用公眾 Wi-Fi 後被盜用帳號一樣,不論如何加密都有被破解的可能。
本文為 WeChat 贊助刊登