新聞來源: PCWorld 資安專欄 / Google Chrome 安全中心通報
威脅對象: 習慣在瀏覽器(Chrome, Edge等)儲存帳號密碼、並安裝多種「擴充功能」的師生與職員。
想像你為了方便,把家裡、辦公室、保險箱的所有鑰匙,通通掛在玄關一個漂亮的掛勾上(這就像瀏覽器的「自動填入密碼」功能)。接著,你請了一個自稱能幫你自動分類郵件或美化畫面的「免費小幫手」(這就是瀏覽器的擴充功能)。
如果這個小幫手心懷不軌,或者他其實是小偷偽裝的,他進門後的第一件事,就是趁你不注意時,把你掛在玄關的那一串鑰匙通通拿去掃描備份。等他離開後,他隨時都能打開你所有的門。
「一網打盡」的風險: 瀏覽器的「自動填入」雖然方便,但它是駭客最喜歡攻擊的目標。一旦惡意軟體或有問題的外掛取得瀏覽器權限,它能在幾秒鐘內導出你存放在裡面的所有站點帳密。
靜默外洩: 這種攻擊通常不會讓你的電腦當機,駭客只是默默地把資料傳回去,等你發現某個帳號被盜用時,往往已經過了很久。
「外掛斷捨離」: 定期檢查瀏覽器的「擴充功能管理」。那些不認識、很久沒用、或是評價太少的外掛,請直接移除。功能越單純,電腦就越安全。
「重要帳密手動輸入」: 涉及到銀行、重要公務系統、或電子郵件的密碼,建議不要儲存在瀏覽器中。雖然麻煩一點,但這是一道無法被自動程式攻破的物理防線。
「善用雙重驗證 (2FA)」: 這是最重要的保險。即便密碼真的被偷走,只要你有開啟手機驗證碼或 App 推播確認,駭客依然無法登入你的帳號。