資訊竊取程式的作用和運作方式
資訊竊取程式是一種惡意軟體,專門設計來感染電腦系統並竊取本機儲存的資料,例如已儲存的使用者名稱和密碼、瀏覽器自動填入項目、財務資訊和其他個人身份識別資訊(PII)。
常見的攻擊手法是誘騙受害者執行陷阱檔案或安裝程式。攻擊者通常透過網路釣魚、惡意廣告或「點按修復」類型的社交工程手法來達成此目的。一旦惡意軟體開始執行,就會從常見的儲存位置(如網頁瀏覽器、電子郵件用戶端和密碼管理工具)收集資料,然後將竊取的資訊打包成日誌檔案,並傳送到攻擊者控制的基礎設施伺服器。多數攻擊行動會運用後台控制面板接收日誌、進行分類整理並提供便捷檢索功能。
在資料外洩後,資訊竊取程式操作者會出售這些日誌牟利、在私人社群中交換,或將其傳遞給其他犯罪同夥,然後使用竊取的資料進行後續攻擊,如帳戶接管和詐騙。
資訊竊取程式如何入侵裝置
資訊竊取程式通常在使用者被誘騙自行執行惡意檔案時感染裝置。攻擊者使用社交工程和分發管道讓惡意軟體看起來合法、有用或緊急。最常見的感染途徑包括:
盜版軟體、外掛程式、模組和「免費」工具
資訊竊取程式可以透過盜版軟體、遊戲外掛或模組以及非官方安裝程式分發,惡意軟體會搭載在合法程式上。這些檔案在種子網站、檔案託管平台、論壇和影片說明中分享,使用者往往會在這些地方停用警告或忽略安全提示。一旦執行,夾帶的惡意軟體會與廣告軟體一起執行並收集儲存的資料。
假冒下載頁面、惡意廣告和贊助搜尋陷阱
資訊竊取程式也透過詐騙廣告、贊助搜尋結果和模仿真實軟體網站的假冒下載頁面傳播。當人們搜尋熱門工具、更新或修補程式時,這些頁面就會出現,而且製作得足夠精美,能夠通過快速的視覺檢查。但不慎點按假冒下載按鈕就可能將合法軟體替換成資訊竊取惡意程式。
惡意瀏覽器擴充功能
資訊竊取程式也可以透過偽裝成合法工具的惡意瀏覽器擴充功能來傳送,例如廣告攔截程式、生產力附加元件或價格追蹤程式。當新增到瀏覽器時,這些擴充功能會在其受信任的環境中運作,直接存取儲存的密碼、Cookie 和活躍工作階段。由於這種偽裝,惡意擴充功能即使在已經竊取了所需資料後仍可能長期存在。
透過聊天應用程式和雲端儲存共享的連結及檔案
資訊竊取程式也可以透過聊天平台(如群組聊天、伺服器和私人訊息)分享的連結和檔案,以及在論壇或社群媒體上發布的雲端儲存連結進入裝置。攻擊者分享「免費工具」、「優質內容」或「修復程式」,然後使用內建檔案託管或共用資料夾來傳送感染的壓縮檔和安裝程式。當受害者開啟檔案時,資訊竊取程式便會執行並開始收集本機儲存的資料。
載入器網路與按安裝付費活動
有時資訊竊取程式會透過載入器惡意軟體推送到裝置,載入器是已在裝置上執行的小程式,專門用於下載和啟動其他惡意檔案。載入程式通常以與資訊竊取程式相同的方式安裝(陷阱下載、網路釣魚附件或惡意連結),但它們會留在裝置上,讓攻擊者稍後可以部署新的惡意程式。犯罪集團會按國家或數量付費給這些載入器網路,讓其將資訊竊取程式推送到受感染的電腦。這種模式不需要對同一使用者進行二次欺騙,並將惡意軟體傳送轉化為自動化服務。
資訊竊取程式最常鎖定的受害者特徵
最常受到資訊竊取程式影響的使用者通常是那些裝置中包含大量已儲存密碼、同步登入和具有活躍工作階段開啟分頁的人。在大量案例中,同樣類型的使用者不斷出現,這些特徵由他們的線上行為和使用的工具所決定。以下特徵描述了常見的受害者類型,並顯示看似正常的行為如何累積成為誘人的攻擊目標。
常態登入者
「常態登入者」類型多為 Windows 使用者,習慣保持帳戶登入狀態,並長時間使用社群平台(如 Facebook、Instagram 與 X)、付費媒體與串流平台、線上購物網站及個人理財服務。這類使用者因每日頻繁使用帳戶且鮮少登出,傾向儲存密碼並維持工作階段活躍。從攻擊者角度來看,這無疑是唾手可得的目標。
遊戲玩家
「遊戲玩家」類型包括在大型遊戲生態系統中花時間,並經常安裝遊戲啟動器、模組、外掛和第三方附加元件來自訂或解鎖遊戲玩法的使用者。這個群體執行的第三方檔案比大多數使用者更多,這增加了執行陷阱下載的機率,為攻擊者創造了簡單的入口點。資訊竊取程式透過盜版遊戲、非官方模組或夾帶惡意軟體的「免費」效能工具感染目標「遊戲玩家」的裝置。遊戲帳戶通常儲存付款詳細資料和數位購買內容,而且瀏覽器工作階段通常保持活躍,這正是資訊竊取程式操作者鎖定此群體的主因。
IT 專業人員
聽起來可能很諷刺,「IT 專業人員」是惡意行為者的主要目標。資訊竊取程式猛烈攻擊 IT 專業人員,因為他們的終端裝置(主要是用於工程或 IT 管理的個人電腦)將高價值憑證和管理員存取權限集中在一個地方。他們經常將管理員登入、API 權杖和遠端存取憑證與日常瀏覽資料一起儲存。如果資訊竊取程式進入這類裝置,竊取的瀏覽器資料可能成為存取內部工具和基礎設施的第一張骨牌。
為何竊取 Cookie 能突破密碼與多重要素驗證防線
隨著登入安全性的改善,資訊竊取程式策略也隨之改變。當今資訊竊取程式操作者更常針對身分驗證 Cookie 和工作階段權杖,而非原始密碼。這種變化反映了人們現在的登入方式。更多使用者依賴密碼管理工具和多重要素驗證(MFA),因此攻擊者轉向可以繞過這些防禦措施的資料。
Cookie 和權杖在成功登入後發放,這表示它們有時可以讓攻擊者進入帳戶而不觸發另一個登入畫面或 MFA 提示。擴大風險的因素是工作階段保持有效的時間長度。被竊取的權杖可以重複使用,直到工作階段到期或服務撤銷它為止,給攻擊者一個在已登入服務中移動的時間窗口。
在地下交易市場,竊取的工作階段資料現已成為獨立商品,日誌的「新鮮度」直接決定其價格。從密碼竊取轉向工作階段 Cookie 和權杖竊取,正是攻擊者如何回應和適應更強身分驗證防禦的典型例證。
如何降低裝置遭資訊竊取惡意軟體感染的風險
為降低裝置遭資訊竊取惡意軟體感染的風險,請限制裝置同時儲存的帳戶存取權限數量,進而縮小攻擊者入侵裝置後的行動範圍。核心策略在於透過強化帳戶與工作階段的管控(這些帳戶或工作階段可解鎖其他帳戶或服務),進而縮小攻擊影響範圍。以下步驟說明了如何在不改變線上使用習慣的前提下達成此目標的方法。
- 優先保護最敏感的帳戶。著眼於關鍵入口而非帳戶數量。先鎖定主要電子郵件與身分登入帳戶,再將相同防護措施套用至銀行、購物及重要工作服務。凡支援多重要素驗證與通行密鑰之處皆應啟用,切勿僅以密碼保護核心帳戶。
- 減少瀏覽器記憶內容。定期檢視瀏覽器或密碼管理工具儲存的密碼,刪除不再使用的帳戶,並登出所有可疑的未識別工作階段。同時保持作業系統與瀏覽器版本更新,舊版系統更容易遭到入侵,且在資訊竊取程式感染後更難恢復。
- 謹慎對待下載內容與「免費」工具。避免安裝非官方啟動器或盜版軟體。若安裝程式要求您停用保護措施或跳過安全提示,請將此阻力視為警訊並立即停止操作。
- 留意帳戶遭劫持的徵兆並迅速切換存取裝置。將意外登入通知、未申請的密碼重設郵件及陌生裝置登入視為帳戶遭劫持的警訊。請使用其他裝置(非疑似受感染裝置)變更密碼,在服務允許的情況下撤銷所有活躍工作階段,並檢視帳戶復原設定,防止攻擊者透過電子郵件或備用驗證碼重新入侵。
一鍵啟動線上安全
使用業界領先的 VPN 保持安全
