不点连结就安全？小心语音信箱成破口

　　在台湾，LINE不仅是通讯软体，更是全民的数位生活工具，无论家庭联繫、朋友聚会，还是生活缴费，大大小小的LINE群组串联起你我的日常生活，却也成为诈骗集团眼中的头号标的。近期爆发的大规模盗帐号事件，即是利用电信机制漏洞，让不少警觉性高的用户也防不胜防。本期「资讯网」分析骇客入侵的路径，并提供保护帐号的四大原则。

---

数位身分的「阿基里斯腱」：语音信箱漏洞

　　多数人熟知的帐号盗用手法，多半源自于点击不明的钓鱼连结，或是误信社交工程的诱骗讯息，但最新一波攻击却是利用电信业的「语音信箱」机制漏洞，即使用户没有点击连结，攻击者仍能透过拦截语音验证码（OTP, One-Time Password），直接夺取帐号控制权，导致用户帐号被强制登出、珍贵的通讯纪录消失。因此，若缺乏「预设安全性」（Security by Default）的概念，将为个人的数位资产带来严重威胁。

 

骇客的「深夜剧本」：三步骤夺取帐号

　　根据相关资安单位的观察，此次骇客并非利用复杂的程式漏洞，而是精准抓住系统验证的「备援路径」。这场心理战的剧本如下：

　　第一步：诱发验证转向：当使用者在新装置登入LINE时，系统为了确认身分，通常会先发送简讯验证码。但若简讯验证未能及时完成，系统会提供「语音电话验证」的选项。

　　第二步：挑选防御空窗期：一旦点选语音验证，系统会自动拨打电话，并由电脑语音唸出验证码。骇客专挑目标对象无法接听电话的时间动手，例如：深夜、手机关机或长途飞行期间。当语音电话因无人接听而转入电信公司的「语音信箱」后，验证码便会以语音留言的形式存在。

　　第三步：利用预设密码夺权：接着，骇客利用电信商提供的「远端听取」功能。这原是为了让用户在没有手机时，也能用其他电话听取留言，但为了操作便利，电信业者常将语音信箱密码预设为「0000」、「1234」或手机末四码。骇客只需输入目标门号，并搭配预设密码，就能听取留言中的验证码，进而接管帐号，将原用户强制登出。

 

从技术漏洞到防御心法：资安的强度取决于「人」

　　仔细拆解上述流程不难发现，骇客利用的不是系统的防线，而是人性的疏忽--因为过度信赖通讯设备原厂设定的安全性，以及追求便利，反而忽略了安全配置。这正反映出资安的核心：最强大的防火墙，不在于昂贵的设备，而是每个人的行为。

 

数位时代　诚、勤、朴、慎的全新实践

　　远东集团创办人奠定的立业精神「诚、勤、朴、慎」，在当今数位时代提供了最佳的防护指引。

1. 「诚」：真诚沟通，杜绝认证码外流

　　当收到亲友传来借钱、代购或代收验证码的要求，必须透过真实语音或多方管道确认身分，不盲目信任讯息文字，并坚守「不分享、不透露」验证码的原则。谨记任何合法的登入网页都不会要求输入「简讯认证码」，看到此要求即可判定为诈骗。

2. 「勤」：勤于查核，不让疏忽成为破口

　　资安防御并非「设定一次便一劳永逸」，需要勤于查核各项设定，包括：定期检查通讯软体中的登入装置纪录，若发现不明设备应立即强制登出；勤于更新应用程式与作业系统，以修补安全漏洞。当帐号出现异常提示时，请第一时间通报官方，并主动处置。此外，勤于学习新型态诈骗资讯亦是关键。

3. 「朴」：化繁为简，关掉用不到的功能

　　排除多余的设定与服务，能有效集中防御力量。因此，针对语音信箱漏洞，可关闭不必要的自动转接功能，若需保留此功能，则应改用复杂度较高的4到8位数密码，取代预设密码。以下为台湾三大电信的快速自保设定：

• 远传电信：透过「远传心生活」App或官网，关闭此项功能；或以手机直拨222，设定新密码。
• 中华电信：手机直拨##002#，即可一键取消所有转接服务，亦可透过官方App设定。
• 台湾大哥大：手机直拨123，再按3，选择「变更密码」；或利用官方App、拨打客服专线188，请专人协助取消此服务。

4. 「慎」：审慎评估，落实零信任原则

　　预先部署多重验证，不依赖单一防线。例如，完成「两步骤验证」设定（设定>帐号>二阶段认证），并绑定Apple ID或Google帐号作为救援帐号。面对「帐户即将停权」或不断推播的登入请求（多重要素验证Multi-Factor Authentication疲劳攻击），需保持冷静。若不幸受骇，应先更换电信密码，再处理通讯帐号，以确保骇客无法再透过相同路径侵入。

 

　　身处数位时代，没有过时的服务，只有被遗忘的防护。唯有将「诚、勤、朴、慎」的精神落实在手机设定，才能加强个人帐号与群体通讯的防护韧性。守护数位安全，就从关闭语音信箱自动转接开始。

 

*图片来源：freepik

#