Posted byOCF Lab
發表迴響

作者 | 林冠廷
實習編輯 | 王彥涵
照片來自 | Shafin_Protic (Pixabay) 

在面對政府強權的管理下,為人民發聲、作為第三方監督的人權組織、獨立記者在網路上經常會有帳號被盜等風險,而社交工程算是其中較常見的方式,透過偽裝成社群媒體的管理員、濫用檢舉機制等攻擊,使他們無法繼續存取自己的帳戶,造成不可逆的損失…

打開電源鍵,連上 Wi-Fi,倡議行動就能沒有距離超越國界與世界接軌連結。網路媒體數位工具是人權工作者、非營利組織、獨立記者對抗強權時最具影響力強而有力的發聲途徑,但是不過獨裁政府、惡質企業,同樣打開電源鍵,連上網路,倡議行動就能沒有距離與世界接軌。網路媒體是人權工作者、非營利組織、獨立記者對抗強權時最具影響力的發聲途徑,但是獨裁政府、惡質企業,同樣也覬覦媒體的威脅潛力,試圖利用數位工具來摧毀這些人長年以來的經營成果與號召力。由數位人權組織 AccessNow 設立的「數位安全熱線」,協助公民團體更安全地使用數位工具,並歸納曾協助的案例內容,以 CC授權發表《強化公民社會防禦》報告,讓更多人權工作者掌握當前面臨的資安危機,並引以為戒。

帳戶盜用最常見,臉書集團占大宗

一般來說,在使用者瀏覽網頁的過程中,網站中的廣告欄位會於瀏覽器存放「第三方 cookie」。這個 cookie 把每個使用者編號,幫助廣告公司記錄使用者的瀏覽習性。往後當使用者上網,無論到哪個網站,只要AccessNow 從 2013 年啟動「數位安全熱線」至今,協助的案件橫跨全球,數量逐年上升,從 2014 年的 664 件,到 2020 年已有 2111 件。求助對象主要以 NGO、人權工作者、獨立媒體與記者為絕大多數;議題近半數為人權、言論自由相關,也有性別、反戰、環境等主題。相較於防患未然,在遭受攻擊前採取預防性措施,多數求助者是在受到損害後,才尋求補救(Reactionary)措施。

根據報告內容,每年呈報最大宗需補救的資安危機均為網路帳戶盜用問題,也就是這些人權工作者與團體無法存取自己的帳戶。帳戶盜用者可能會偽裝成社群媒體的服務團隊,拐騙簡訊驗證碼、帳戶復原代碼等二步驟驗證資訊,甚至是登入密碼,或索取組織官方證明文件。若取得證明文件,就有機會冒充為帳號所有者,向真正的社群媒體服務商取得帳號控制權。此外,盜用者也可能將自己的電話號碼等帳號復原途徑,儲存在受害帳戶中,若真正的所有者取回帳戶,他們仍然可以透過這些復原途徑再次進行攻擊。

AccessNow 指出,光是 2020 年,就有 487 件帳戶問題,其中臉書集團的 Facebook、Instagram、WhatsApp 三項服務就占約 350 件。Google、Twitter 為其次,各自超過 50 件案例。若手上有任何數位帳戶,都要隨時確認二步驟驗證有開啟,而且所有聯絡資訊都是最新的正確內容。若有來路不明的電話號碼、電子郵件,記得將帳號登出所有裝置、修改密碼,確保帳號安全。

審查、騷擾、病毒,威脅無所不在

除了帳戶盜用外,審查也是常見資安問題。一般大眾熟知的審查多半是政府阻擋特定網站,例如維基百科、Google 等。而 NGO 除了面對網路工具遭到阻擋的問題外,也常常面臨社群媒體中的貼文審查,AccessNow 在報告中批評,社群媒體缺乏合理的申訴機制,幫助恢復貼文內容,是審查機制能夠對使用者造成傷害的一大原因,因為攻擊者往往可輕易濫用社群媒體的檢舉機制,例如宣稱貼文違反著作權法規,將人權工作者的貼文無情移除。

如果檢舉行不通,攻擊者則可能改用騷擾,讓人權工作者防不勝防。報告指出,社群媒體中的騷擾常常針對女性與 LGBT 社群,而且數量不斷上升。2020 年因為疫情,許多騷擾從實體轉移到網路,AccessNow 在一年中處理了 180 件騷擾案件,跟 2019 年相比增長 56.5%。其中,臉書集團所占的案件數量,就超過 100 件。

至於病毒攻擊,雖然很少是攻擊案件的大宗,但只要發生,就可能對受害者造成不可逆的損失。這類型的攻擊多數針對記者,其次是 NGO 組織。攻擊者使用釣魚策略,或是訊息攻擊,在受害者的手機、電腦中安裝監控軟體,並回傳收集到的情報資訊。根據報告,這種策略在墨西哥、沙烏地阿拉伯、土耳其等地特別猖獗,遭到殺害的沙烏地異議記者哈紹吉(Jamal Khashoggi)也是病毒攻擊的目標之一。

威脅日益嚴峻,尋求協助保持安全

根據報告分析,這些攻擊者從政府、製作惡意軟體的商業公司、受到人權運動監督的對象,甚至是一般大眾都有可能。數位工具蓬勃發展,疫情期間成為人們跨越國境的連結利器,但也可能對人權工作,甚至個人生命造成威脅。若你本身在進行人權或調查報導工作,於資源不足的窘境下,不妨聯繫 AccessNow「數位安全熱線」,請他們協助你進行資安健檢。臺灣民間 CSCS 社群主辦、開放文化基金會等組織協辦的「公民團體資安暨隱私交流計劃」同樣提供資安培訓、協力與交流,是你保持安全的好選項。

這張圖片的 alt 屬性值為空,它的檔案名稱為 1_euiba7nlezhh3xia6jlmyw.gif

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

Gravatar
WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

取消

連結到 %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.