新加坡警方(SPF)與新加坡網絡安全局(CSA)呼籲公眾提高警覺,重視保護個人網絡帳戶(包括電子郵件帳戶)的安全。
在日益數位化的社會中,使用強大且安全的密碼來保護線上帳戶,比以往任何時候都更為重要。隨著網絡犯罪和詐騙案件持續上升,個人面臨的風險也日益增加——不法分子可能未經授權取得您的個人及財務資料。若使用過弱或重複的密碼,將讓黑客更容易入侵帳戶,導致身份被盜或財務損失。
常見的帳戶憑證入侵手法
社交工程攻擊
不法分子可能透過偽冒銀行或政府機構等可信組織,發送釣魚郵件,內容含緊急或威脅性訊息,誘使您交出帳戶憑證。這些郵件中的連結,可能導向假冒的網站,模擬「密碼重設」或「帳戶登入」畫面。一旦您在這些假網站輸入密碼,便可能在無意間將登入資訊交給黑客。此外,受害者也可能被誘騙安裝「資訊竊取型」惡意程式(infostealer malware),自動竊取裝置內儲存的帳戶資料及其他敏感資訊。
撞庫攻擊(Credential Stuffing)
黑客也可能利用過去企業資料外泄事件中竊取的帳密,嘗試登入您的其他帳戶。如果您在多個帳戶使用相同密碼,便極可能遭連帶入侵。
字典與暴力破解攻擊
黑客可透過字典或暴力破解方式,利用常見密碼與字元組合的「密碼字典」,反覆嘗試猜測您的密碼。密碼越短、越簡單,破解所需時間就越短。
中間人攻擊(MITM)
在中間人攻擊中,黑客可能攔截您與網站之間的通訊,偷偷竊取登入憑證,而您與網站雙方皆無從察覺。此類攻擊常透過未加密的Wi-Fi網絡進行。
如何保護您的帳戶?
公眾應採取以下預防措施:
辨識釣魚郵件特徵 – 留意突來的郵件與可疑附件。此外,黑客可輕易打造外觀與合法網站極為相似的釣魚網站。他們也可能在URL中替換字母,誤導您以為身處合法網站,例如:www.paypa1.com 取代 www.paypal.com。
使用強度高且複雜的密碼或口令 – 密碼應至少含12個字元,並混合使用大小寫字母、數字與符號。您也可使用「口令」(passphrase),將五個與個人記憶相關的單字串聯而成。由於口令長度較長,破解難度更高,所需時間也更久。請避免使用容易猜測的密碼,例如姓名、身份證號碼或生日,且切勿在多個帳戶重複使用同一密碼。
啟用多重驗證(MFA) – 建議儘可能為您的線上帳戶啟用多重驗證(MFA)或雙重驗證(2FA),為帳戶安全增添一層防護。
使用信譽良好的密碼管理工具 – 密碼管理器能協助您安全儲存與管理各帳戶密碼。您只需牢記一個「主密碼」即可解鎖管理器,無需記住大量不同密碼。此外,也應啟用2FA以加強防護。
安裝防毒軟體 – 為保護裝置免受惡意程式感染,請安裝防毒應用或軟體,並設定自動更新功能。
使用安全的Wi-Fi網絡 – 儘量使用有密碼保護的已知安全Wi-Fi。瀏覽網站時,請確認網址列顯示「https://」及鎖形圖示,這代表通訊已加密,安全性更高。請避免在公共Wi-Fi環境下進行敏感交易。
您可前往「Have I Been Pwned」網站[1],查詢您的電子郵件帳戶是否曾遭資料外泄事件波及。若發現帳戶可能遭入侵,請立即採取以下措施:
立即更改密碼,並啟用MFA / 2FA(如支援),以確保帳戶安全。若您在其他帳戶使用相同密碼,也應一併重設,防止未經授權的存取。
若發現可疑交易或無法登入帳戶,請立即聯繫平台服務商求助。
若您曾點擊釣魚連結或打開釣魚郵件中的附件,請使用更新後的防毒軟體進行全系統掃描。
立即向相關單位通報,並前往任一鄰區警察崗亭報案,或線上提交報案資料至 https://eservices1.police.gov.sg。
若您掌握任何犯罪線索或心存疑問,歡迎致電警方熱線1800-255-0000,或透過 www.police.gov.sg/i-witness 線上通報。所有資訊將嚴格保密。若需緊急警力支援,請立即撥打「999」。若您不確定是否遭遇詐騙,可致電24小時「防詐一線通」1799,或下載「ScamShield」應用程式,協助您查核、偵測與阻擋詐騙。更多詐騙資訊,請瀏覽 www.scamshield.gov.sg。
[1]:https://haveibeenpwned.com – 提供免費查詢服務,確認您的線上帳戶是否曾遭資料外泄。
公共事務部
新加坡警方
2025年5月21日 晚上8點20分
