不點連結就安全？小心語音信箱成破口

　　在臺灣，LINE不僅是通訊軟體，更是全民的數位生活工具，無論家庭聯繫、朋友聚會，還是生活繳費，大大小小的LINE群組串聯起你我的日常生活，卻也成為詐騙集團眼中的頭號標的。近期爆發的大規模盜帳號事件，即是利用電信機制漏洞，讓不少警覺性高的用戶也防不勝防。本期「資訊網」分析駭客入侵的路徑，並提供保護帳號的四大原則。

---

數位身分的「阿基里斯腱」：語音信箱漏洞

　　多數人熟知的帳號盜用手法，多半源自於點擊不明的釣魚連結，或是誤信社交工程的誘騙訊息，但最新一波攻擊卻是利用電信業的「語音信箱」機制漏洞，即使用戶沒有點擊連結，攻擊者仍能透過攔截語音驗證碼（OTP, One-Time Password），直接奪取帳號控制權，導致用戶帳號被強制登出、珍貴的通訊紀錄消失。因此，若缺乏「預設安全性」（Security by Default）的概念，將為個人的數位資產帶來嚴重威脅。

 

駭客的「深夜劇本」：三步驟奪取帳號

　　根據相關資安單位的觀察，此次駭客並非利用複雜的程式漏洞，而是精準抓住系統驗證的「備援路徑」。這場心理戰的劇本如下：

　　第一步：誘發驗證轉向：當使用者在新裝置登入LINE時，系統為了確認身分，通常會先發送簡訊驗證碼。但若簡訊驗證未能及時完成，系統會提供「語音電話驗證」的選項。

　　第二步：挑選防禦空窗期：一旦點選語音驗證，系統會自動撥打電話，並由電腦語音唸出驗證碼。駭客專挑目標對象無法接聽電話的時間動手，例如：深夜、手機關機或長途飛行期間。當語音電話因無人接聽而轉入電信公司的「語音信箱」後，驗證碼便會以語音留言的形式存在。

　　第三步：利用預設密碼奪權：接著，駭客利用電信商提供的「遠端聽取」功能。這原是為了讓用戶在沒有手機時，也能用其他電話聽取留言，但為了操作便利，電信業者常將語音信箱密碼預設為「0000」、「1234」或手機末四碼。駭客只需輸入目標門號，並搭配預設密碼，就能聽取留言中的驗證碼，進而接管帳號，將原用戶強制登出。

 

從技術漏洞到防禦心法：資安的強度取決於「人」

　　仔細拆解上述流程不難發現，駭客利用的不是系統的防線，而是人性的疏忽--因為過度信賴通訊設備原廠設定的安全性，以及追求便利，反而忽略了安全配置。這正反映出資安的核心：最強大的防火牆，不在於昂貴的設備，而是每個人的行為。

 

數位時代　誠、勤、樸、慎的全新實踐

　　遠東集團創辦人奠定的立業精神「誠、勤、樸、慎」，在當今數位時代提供了最佳的防護指引。

1. 「誠」：真誠溝通，杜絕認證碼外流

　　當收到親友傳來借錢、代購或代收驗證碼的要求，必須透過真實語音或多方管道確認身分，不盲目信任訊息文字，並堅守「不分享、不透露」驗證碼的原則。謹記任何合法的登入網頁都不會要求輸入「簡訊認證碼」，看到此要求即可判定為詐騙。

2. 「勤」：勤於查核，不讓疏忽成為破口

　　資安防禦並非「設定一次便一勞永逸」，需要勤於查核各項設定，包括：定期檢查通訊軟體中的登入裝置紀錄，若發現不明設備應立即強制登出；勤於更新應用程式與作業系統，以修補安全漏洞。當帳號出現異常提示時，請第一時間通報官方，並主動處置。此外，勤於學習新型態詐騙資訊亦是關鍵。

3. 「樸」：化繁為簡，關掉用不到的功能

　　排除多餘的設定與服務，能有效集中防禦力量。因此，針對語音信箱漏洞，可關閉不必要的自動轉接功能，若需保留此功能，則應改用複雜度較高的4到8位數密碼，取代預設密碼。以下為臺灣三大電信的快速自保設定：

• 遠傳電信：透過「遠傳心生活」App或官網，關閉此項功能；或以手機直撥222，設定新密碼。
• 中華電信：手機直撥##002#，即可一鍵取消所有轉接服務，亦可透過官方App設定。
• 台灣大哥大：手機直撥123，再按3，選擇「變更密碼」；或利用官方App、撥打客服專線188，請專人協助取消此服務。

4. 「慎」：審慎評估，落實零信任原則

　　預先部署多重驗證，不依賴單一防線。例如，完成「兩步驟驗證」設定（設定>帳號>二階段認證），並綁定Apple ID或Google帳號作為救援帳號。面對「帳戶即將停權」或不斷推播的登入請求（多重要素驗證Multi-Factor Authentication疲勞攻擊），需保持冷靜。若不幸受駭，應先更換電信密碼，再處理通訊帳號，以確保駭客無法再透過相同路徑侵入。

 

　　身處數位時代，沒有過時的服務，只有被遺忘的防護。唯有將「誠、勤、樸、慎」的精神落實在手機設定，才能加強個人帳號與群體通訊的防護韌性。守護數位安全，就從關閉語音信箱自動轉接開始。

 

*圖片來源：freepik

#