電腦玩物

這應該也是一個行之有年的網路詐騙手法，但不是透過郵件、社群傳播，而是利用我們一般「工作上看似更屬於個人管理的工具」，也就是我們的 Google 日曆 、 iCloud 日曆來進行釣魚攻擊。

相信大家在新聞上都有看過「 某個網站的大量用戶帳號密碼外洩、被駭 」的消息，尤其知名網站的帳密資料外洩，總是讓每個用戶人心惶惶，因為可能我們也有這些網站的帳號密碼，而不確定自己的用戶資料是否在外洩名單中。 這些重要的外洩事件發生時，通常網路上也會出現一些「檢查工具」，讓你檢查自己有沒有在洩漏名單中。

今天看到微軟的「 Windows Security blog 」發布了一篇新文章：「 Stopping ransomware where it counts: Protecting your data with Controlled folder access 」。裡面提到， 在最新發布的 Windows 10 Fall Creators Update （Windows 10 秋季創造者更新）中，加入了一項新的安全功能，可以阻擋勒索軟體，預防未來勒索軟體的破壞 。 我簡單的測試了一下，這項新功能叫做「受控資料夾存取權」（Controlled folder access），內建在最新版的 Windows Defender 資訊安全中心。更新到 Windows 10 Fall Creators Update 就能看到，預設是不啟動的，我們必須手動開啟他。 顧名思義，「受控資料夾存取權」（Controlled folder access）的用途是：防止未授權的應用程式隨意去修改你的重要資料。而勒索軟體，正是會隨意把你資料加密，然後跟你要贖金的「未授權應用程式」。 所以當開啟「受控資料夾存取權」（Controlled folder access）後，微軟預期可以防止勒索軟體把你的重要資料鎖住，這樣自然就不怕勒索軟體威脅！

今天早晨，正在準備著 週六的講座課程 ，一起在客廳工作的老婆，忽然把她的手機給我看，說她在 iPhone 的內建電子郵件軟體中，收到一封寄件者顯示為「 AppleID 」，標題為「你在 iTunes 上的 Spotify 付費訂閱即將續訂」，內文則「提供了一個可以取消的連結」。 老婆心生疑惑，她有用過 Spotify 但也已經取消訂閱了，這封郵件是真的嗎？還是時下常見的 釣魚詐騙郵件 ？於是她請我確認看看。 當然，這是一封釣魚詐騙郵件， 如果要仔細檢查的話可以看出幾個端倪： 他的寄件者郵件地址並非真正的 Apple 公司（雖然名稱假冒是）、他的點擊網頁網址並非真正 Spotify 或 iTunes 地址、他有奇怪而不必要的附加檔案。

「 Google Play Protect （安全防護） 」，最近開始向所有的 Android 用戶推送更新，這是一個什麼樣的功能呢？簡單來說，這就是 Google 為 Android 手機與平板內建的「防毒、掃毒」機制。 大概在三四年前，我還會在自己的 Android 手機安裝像是 Avast 這類手機防毒軟體 。 但是後來在 2014 年的時候， Google 開始在 Android 手機推出一個「 驗證應用程式 」功能（如下圖），我就開始想說，似乎不會再於手機安裝防毒軟體了。（延伸參考： 不需安裝優化App， Android 新手機推薦用內建設定搞定優化 ）

最近有 一則新聞提到 ，有 10 名哈佛新生在 Facebook 組成社群，分享一些侵犯他人、具有惡意的訊息，而導致哈佛取消了他們的錄取資格。這樣的事件中，一方面可以討論哈佛的做法是否過度，另一方面，也可以看到在這個線上的新世界中，我們或許還沒有準備好面對他的新態度，而更何況是孩子。 所以最近 Google 推出了一個全新的線上遊戲：「 Google Interland 」，他用遊戲化的方式，在冒險遊戲過程中，想要讓孩子們主動去理解、學會網路安全的幾個基本知識、技能。當孩子們上網變成必備的生活與學習行為時，除了家長建立防護網，不如讓孩子們自己學會安全上網的行為，以及面對網路世界的較好態度。 事實上，在「 Google Interland 」這個線上冒險遊戲中， Google 用遊戲不只說明了安全與隱私的技巧，也解說了如何在網路上「成為一個善良的人」，或是「如何面對網路詐騙」的心法。我自己實際玩過一輪遊戲後，覺得 不只孩子需要 ，其實我們在網路世界也都還是學齡階段，也應該確認一下自己是否理解這些網路安全觀念。

昨天開始 國外許多報導 提到一個「可能已經存在多年」的瀏覽器漏洞（或者說設計缺陷）被發現，釣魚網站有可能利用這個設計缺陷， 在用戶不知情的情況下 ，拿到使用者的住址、電話、信箱，甚至信用卡資料。 根據芬蘭開發者 Viljami Kuosmanen 提到，這個缺陷出現在 Chrome、 Safari、 Opera 等具備自動填表功能的瀏覽器中，以及像是 Lastpass 等具備網頁自動填表功能的瀏覽器套件中，你在使用這些自動填表功能時，可能不小心把原本沒有想要輸入的信用卡或電話資料洩漏出去。 原理如下，其實很簡單。

當我們到達一個陌生的地方，走在暗無一人的深夜馬路，或許我們會希望跟家人與信任好友報個平安。擔心的親友也會想要知道我們的位置，以及我們是否安全。所以其實之前在手機上就已經有許多針對「跟家人分享位置」、「讓家庭互報平安」的 App 。 而今天， Google 自己推出了滿足上述需求的個人安全 App ：「 Trusted Contacts （安全聯絡人）」，這個工具的目的是當我無論遇到什麼緊急情況， 即使是沒有網路或無法回應時 ，我信任的家人與朋友依然有辦法獲得我最後的位置以及目前情況 。（似乎也很適合安裝在長輩的手機中） Google 的「 Trusted Contacts （安全聯絡人）」工作原理很簡單，把我信任的家人好友加入名單，他們便可以隨時請求知道我的所在位置，如果我一切 OK ，我可以拒絕他們的請求。但是如果我超過 5 分鐘沒有回應，那麼我的位置就會自動發送到他們手上。簡單明瞭，而且也有一些額外的功能，下面就讓我跟大家一一介紹。

「 Web of Trust （ MyWOT ） 」是一個知名的網頁安全評分服務，從 2007 年推出至今，有高達一億四千萬的用戶曾在自己的 Google Chrome 或 Firefox 瀏覽器安裝其評分套件，在上網時顯示出每一個網站的安全警告。我自己也曾經是其中的一名使用者。 不過，就在幾天之前，德國廣播公司 NDR 在節目中爆出最新研究分析（ 相關報導連結 ），發現「 Web of Trust （ MyWOT ）」會收集用戶瀏覽資料，並分析後販賣給第三方服務，本來這可能還是其條款裡有說明的，但更大的問題是，經過 NDR 的分析，發現這些用戶瀏覽資料「 居然不是匿名 」的，後面這個問題就很大了。 雖然 Web of Trust （ MyWOT ）」在他的隱私規範裡，有言明他會收集用戶的 IP、裝置、系統、瀏覽記錄等資料。但是德國廣播公司 NDR 研究發現，這些資料可以很簡單的跟用戶的註冊郵件，甚至像是用戶使用的醫療、公司私密網站記錄相關聯，於是這些瀏覽記錄就不再具備匿名，而會曝露用戶隱私。

我之前在主講一些 Google 雲端辦公室的課程 中，當提到 Google 智慧型工作 的便利性，總會有機警的學員提到那隱私問題如何控管，我們一方面享受 Google 透過分析我的私人活動而提供給我聰明的建議，但另一方面也希望能夠刪除或保護自己最私密的資料。 這確實是兩難，而最終回歸到我們對 Google 服務是否信任。就好像一個公司主管也要把自己的工作資料與行程跟秘書說，這樣秘書才能全力幫老闆安排出最順暢的工作流程，在我的概念裡，我把個人隱私活動與資料交給 Google ，正是把 Google 當成秘書來看待。 而 Google 在掌握每個用戶個人隱私活動資料的同時， 其實 Google 也有提供便利的隱私安全工具，來幫助用戶「 取回自己的資料 」、「 刪除隱私的活動 」，甚至「 一開始就禁止 Google 收集私密 」 ，而且這些設定不會很複雜，下面就讓我來完整教學如何滿足上述需求。

我自己之前曾經想要嘗試「 1Password 」，但一直沒有機會，畢竟長期使用 KeePass ，而且要從 KeePass 的資料庫轉移到 1Password 必非易事（我有 查到方法 ，但步驟太難，目前還未搞定）。所以或許下面對「 1Password 」描述有失準之處，歡迎大家來修正指教。 前幾天，知名的密碼管理軟體「 1Password 」推出新的月費機制，以前我們要購買約 64.99 美金的「 1Password 」軟體，而現在改用註冊「 1Password 」雲端帳戶的方式，則是每個月繳納 2.99 美金，考量到「 1Password 」遇到大版本更新時需要重新購買軟體，月費制確實是一種不錯的方式。 當然更重要的其實不是「 1Password 」改成月費制， 而是「 1Password 」對個人用戶來說成為一個 密碼管理的雲端同步服務 ，就像已經發展多年的密碼雲端管理服務「 LastPass 」一樣。

「兩步驟驗證」，可以說是使用雲端服務時一定要開啟的安全機制 ，先輸入正確帳號密碼之後，利用簡訊或驗證器來證明本人身份，可以保證「只有使用者本人」可以在不同電腦與裝置登入自己的帳號，這就很大程度保護了帳號的安全性。即使對方偷了你的帳號密碼，也會因為無法通過第二步驗證，而不能入侵你的帳戶。 從 Google、 Facebook ，到 Evernote、 Dropbox 等各大雲端服務，皆有帳號兩步驟驗證功能可以開啟。如果你還未開啟，可以參考我後面這篇文章，有最完整的教學整理：「 保護10個最重要網路帳戶：帳號兩步驟驗證教學大全 」。 而今天要跟大家介紹的是 Google 推出的最新兩步驟驗證機制 ，用你的 Android 與 iPhone 手機，不須額外軟體也不須簡訊，便能完成兩步驟驗證。訴求可以更簡單快速地完成 Google 帳號的第二步驗證，從而在保證安全的時，也能減少不便之處。

大概從 2008 年我在 電腦玩物 第一次介紹「 個人帳號密碼的安全保險箱：KeePass Password Safe （附自動化填表技巧補完） 」後， KeePass Password Safe 這就成為我一直使用的帳號密碼管理軟體，幫助我管理眾多網站、服務的帳號，不怕忘記自己的密碼，也保護密碼的安全。 而因為 KeePass 本身開源的特性，所以雖然他是以 Windows 為主的軟體，但是其他平台上都有不同的開發者設計出支援「跨平台雲端同步 KeePass 密碼資料庫格式」的免費軟體，只要善用， KeePass 也可以是一套跨 Windows、 Mac、 Android、 iOS 的「免費雲端同步密碼管理服務」，例如： KeePassX 免費中文密碼管理軟體 Windows Mac 通用 KeePassDroid 在Android手機上快速輸入各網站、 App帳號密碼 MiniKeePass — Secure Password Manager （for iPhone iPad ） 而我自己在 Android 上原本慣用 KeePassDroid ，但是最近終於興起了替換一款更順手工具的想法，於是轉而使用大家更推薦的「 Keepass2Android 」！

前幾天，老婆忽然跟我聊起她覺得目前她的即時通使用分配情況很剛好，我詢問她是什麼意思？她說：因為在工作上要用 微信 WeChat （需要和大陸廠商溝通），在她的朋友圈大家都用 LINE  ，剛好她的老公（我）喜歡嘗試不同的即時通軟體，所以兩個人可以使用第三種與眾不同的 App ，這樣一來三種通話需求反而不互相干擾，還跟我有了專屬溝通工具。 那麼我現在使用哪一種即時通軟體和老婆溝通呢？之前我們曾一起用 Google Hangouts ，但慢慢的我的工作上也愈來愈多夥伴開始使用 Hangouts ，於是前一陣子我就跟老婆建議來改用另外一款受到高度好評的「 Telegram 」。 說到「 Telegram 」，是一款帶著一點傳奇身世的全球性即時通軟體 ，也是在隱私理想主義者之間認為的高安全性即時通軟體之一，加上他簡潔、快速的清爽風格有別於當今的即時通軟體，還擁有完全免費又無廣告的宣言，所以深受許多人喜愛。 而且在基本的即時通軟體功能上，「 Telegram 」可說把功能做得十分充足，例如支援 200 人群組，支援無限制的大檔案傳送，並且他擁有各種平台的軟體（ Android、 iOS、 Mac、 Windows、 Linux 與網頁版），訊息也能即時在所有平台同步。 2015/12/1 新增補充 ： Telegram 即時通活用教學：10大最愛技巧包含中文化

無論是為了防止自己的 Facebook 與 LINE 帳號被盜用而散發一些惡意訊息，還是為了保護儲存在 Google 等雲端服務裡的重要資料不被偷窺，如何確保自己的網站帳號密碼只有我自己一個人可以使用？是現在使用雲端服務工作與生活時必備的基本功。 而保護自己線上服務帳號密碼安全的方法很多，例如每個網站設定不同密碼、設定複雜長密碼等等，這時候你可能需要像是「 KeePassX 」這樣的免費軟體來管理愈來愈多的帳號密碼。 但是最基本且最有效，而且 建議針對「最重要網路帳戶」一定要做的動作，就是開啟這些帳戶的「 帳號兩步驟驗證 」機制。

當你對 Google Now 說出搜尋指令、語音命令，當你在 Android 上對著任何一個支援語音辨識的 App 下指令，例如在 Google Keep 用語音輸入筆記，在影片 App 用語音找資料， 這時候你說過的話，你的語音，都會被 Google 自動記錄上傳到雲端 ，你甚至能上網站去查詢自己哪一天說過什麼指令，還能重播當時自己講過的「音訊檔案」。 當然這樣的「語音和音訊活動」記錄是私密的，只有我自己登入 Google 帳號才能看到。我認為不用太擔心隱私，而且記錄語音對於 Google 更成功辨識我的指令是有幫助的，例如 Google Now 可以某個程度認出我的聲音，我老婆發出的命令他不一定會接受。 但是，起碼我們要知道有這樣一件事情，也要知道當我使用 Android 手機時或許已經開啟讓 Google 自動上傳儲存我的語音資料的權限，並且我們也最好知道要怎麼檢查、刪除與停止這個記錄？這樣不同使用者可以依據自己的需求做不同設定。

在 Facebook 的 Android 與 iPhone iPad App 這兩天更新之後，多了一個新功能叫做：「 周邊的朋友 」 ，顧名思義，這個功能類似前幾年在 Google+ 上推出的服務，可以讓我們即時掌握還有哪些朋友也在自己所在位置附近。 預設情況下，當你更新 Facebook App 後這個功能就會設定為開啟，除非你手動將其關閉。那麼這個 Facebook 周邊的朋友功能效果如何？是否實用？有沒有隱私安全疑慮呢？今天這篇文章就讓我一次來為大家解答。 如果你想知道更多 Facebook App 隱藏功能教學，還可以參考電腦玩物上的「 Facebook App 原來還有這一招！ 15 個隱藏功能教學 」。

當我們把資料儲存到雲端服務時，心中一定會有一些擔心疑慮，最主要的一些問題包含了：我的帳號（資料）會不會被盜用？ 我的隱私會不會被公開？我的內容所有權還是我的並且可以隨時拿回內容嗎？服務會不會把我的內容拿去做其他商業用途？ 雲端帳號的安全問題、雲端服務的隱私疑慮在每個不同服務上有不同解答，但 Google 調查發現只有 9% 的 Google 用戶覺得擁有自己帳戶完整的掌控權，因此 Google 也希望能改變這樣的情況，希望讓一般用戶也能感覺到要完全掌控自己的 Google 帳戶與內容沒有那麼複雜，並且你真的可以做得到。 在 Google 於 I/O 大會推出的一系列雲端服務：「 Google 相簿 」、「 Google Inbox 」、「 Google 密碼管理 」之後， Google 推出了全新的「 Google 我的帳戶 」控制中心，這是每個使用 Google 服務的朋友都應該知道的地方，因為我們可以在這裡用 更統一、更便捷的方法掌控自己 Google 帳戶的一切問題 。

昨天國外重量級媒體紛紛報導一則在 Lenovo 用戶論壇延燒快半年的風暴：「 Lenovo 在用戶購買的全新聯想筆電中預先安裝了一款叫做 Superfish 的廣告軟體。 」 Lenovo 也出面承認確實做了這樣的行為，並且聲稱在 2015 年 1 月下旬之後新出廠的筆電將暫時取消 Superfish 的功能（ 參考來源 ）。 不是被第三方植入，也不是被其他人破解或入侵，而是你過去購買的 Lenovo 聯想筆電，在完全新機的情況下可能已經被原廠預先安裝廣告軟體。 雖然 Lenovo 聯想聲稱這個叫做「 Superfish 」的軟體是一種視覺搜尋技術，可以在用戶瀏覽網頁時分析用戶看到的圖片內容，並提供用戶其他感興趣的類似產品。 但是他的「實際運作」卻是在我們瀏覽安全加密的 Google 搜尋、線上購物等網站時，也能偵測我的瀏覽內容，並且把自己的廣告直接插入原本的網頁中，強制改變了原始網頁內容，這就是俗稱的 惡意軟體行為 了。

這幾年說到 瀏覽器首頁綁架 、 惡意工具列 ，大家口耳相傳偏方都是用「 AdwCleaner 」來移除，我自己反而漸漸對這類工具有一些小心，一來怕一不小心誤刪重要資料，二來總覺得更應該先建立「為什麼我會中毒？」的觀念（大多時候綁架首頁程式來自於你上網時下載的惡意影音網站外掛）。 今天，剛好看到國外一篇報導，說在國外發現了「假的 AdwCleaner 」，打著 AdwCleaner 太知名的鋒頭，用釣魚網站騙網友中毒了，並且要網友下載安裝「假的 AdwCleaner 」，而這個「假的 AdwCleaner 」無法移除，必須支付將近 60 美金贖金才能解決問題。