近年筆者經常聽聞有些人明明沒有公開說甚麼,但偏偏就有人監聽到;有些人去一些地方或者做一些活動,例如去公園野餐,但就有人知道他們的行蹤。其實在今日這個智能年代,如果不小心一點,你說甚麼、去過哪裡、做過甚麼,也有可能透過你隨身的裝置,在不知不覺之間洩漏出去,讓有心人可以監聽或者跟蹤到。如果不想行蹤那麼容易被洩漏,我們就專訪了以前從事私家商業偵探的華哥(化名),讓他向大家透露一些他們常用多種追蹤手法,以及如何防守吧。
電話 SIM 咭基站
透過你的手機知道你的大約位置,無論你通話與否,手機都會自動找尋訊號最強(最近)的發射站連接,在全港電話基站紀錄一 search 就知道到你整天的行程,仔細得連時間及甚麼街口都會可以看得到。
解決辦法 :
使用太空或儲值咭
華哥建議,如果公司董事們有心傾談合併計劃,或是跟客戶有大生意上的合作,首要就把想日常用的手機關機放好不要隨身。第二是把第二台手機裝上「儲值咭」,間諜就無法事後在基站中查到你的行蹤。
個人版八達通
個人八達通記錄了不少大家的個人資料,包括:姓名、相片(如有提供)、年齡、甚至住址等,有些學校亦會用個人八達通作點名用途或於圖書館借書,另外有些大廈亦可使用個人八達通作門禁用途。只要你一「嘟」就會留下印記。
解決辦法 :
Cash is King
使用租借八達通或避免使用,付現金或購買車票。
新智能身份證
香港市民將會或已換領全新一代智能身份證,身份證的資料將支援以 RFID 技術在無接觸的情況下讀取,類似現時八達通、信用卡的讀取方式。有人就擔心身份證裡面的重要個人資料,會被不法份子偷取,甚至是被執法部門在不合情理之下取得我們的識別資料。雖然立法會保安事務委員會有關新一代智能身份證系統的《討論文件》中指出,在啟動晶片的無線通信前,必須把身份證放在光學證件閱讀器上,讓閱讀器讀取證件上某些獨特資料,轉化為密匙,並由該張身份證與系統核實。簡單一點來說,就是身份證必須「見光」給閱讀器直接讀取一下,資料方能進行傳輸。縱然如此,華哥表示從技術上來說,執法部門或者有些沒甚麼操守的偵探如果有特別方法啟動晶片的無線通信能力,例如在讀過一次某些特定市民的身份證後記下密匙,就可在毋須使用光學儀器開啟身份證無線通信機制的情況下,進行遠距離「偷讀」。雖然這或會構成「不誠實使用電腦罪」,但很難從技術上排除這個情況。
解決方案:
使用阻隔 RFID 訊號卡套
如果你仍然擔心使用 RFID 的全新一代智能身份證,會被不法人士隨使讀取,市面上一些具有 RFID 訊號阻隔功能的卡套,就可以為你的智能身份證、信用卡、八達通提供多一種物理保護。而在之前的實試,證實絕大部分市面上、甚至在淘寶買回來的 RFID 卡套,也可以成功阻隔隔空讀取 RFID 訊號,十分安全。
以錫紙包裹身份證
當然,如果大家想成本更低一點,我們曾經嘗試用一張錫紙包裹八達通卡,也有同樣的保護作用,毋須特別的高科技技術。由於新一代智能身份證與八達通卡讀取原理及技術大致相同,所以以此低成本方法,亦應可阻隔有心人隔空讀取新智能身份證內的資料。
手機 GPS + 手機發射站定位(aGPS)
一些比較初級的偵探甚至是商業間諜,或許不能輕易取得到手機基站紀錄,但亦可以利用電郵或你手機的系統漏洞植入木馬,然後讀取你手機的 GPS 及 aGPS 發射站輔助定位系統數據,效果比基站的更加準確。
解決方案:
關掉自動定位
最直接就是不要長開定位,一來可保私隱,二來亦可令智能裝置更省電,一舉兩得!
只開放定位功能給合適軟件
有些軟件根本不需要使用定位,但在安裝 APP 時就要求大家開放定位功能,最好大家就不要開啟。但如果開啟了,就記著定時查閱隱私清單,並關閉這些軟件的定位功能,就可以確保行蹤不會無意之間外洩了。
手機相片暗藏拍攝地點
華哥向我們 unwire 分享有個案例,某公司 Marketing Head 分享了一張相片並寫著:「是日客戶洽談順利,連陽光也在跟我慶祝!」雖然相片中只有藍天白雲難以知道拍攝地點,但把相片下載後可以在憑 EXIF 知道。就這樣把拍攝地點稍作分析就知道在跟甚麼客戶傾談,就這樣一張相片損失一單大生意,可能受害者直到今天都估不到為甚麼對手會知道。
解決方法 :
關掉相片位置紀錄 / 刪除 EXIF
所有經手機或含有 GPS 功能的相片拍攝的相片,分享前必須把 EXIF 清除或直接在手機中關閉此功能。
電子貨幣
其實電子貨幣不單是指現時流行的 Apple Pay、Android Pay、VISA PayWave、MasterCard PayPass、銀聯閃付、甚至今年開始在香港推出的微信支付等,就連部分支援以信用卡付款的 APP,例如:Uber、Apple Store APP、App Store / Play Store 等,但凡儲存了你的信用卡資料的 APP,亦有可能透過你在何處買了什麼東西,或者 APP 內的付款紀錄,知道你的行蹤。當然,與你名下銀行戶口連結的提款卡,亦有可能洩露你的行蹤,因為有心人絕對可以透過你在哪裡提過款,知道你的大約位置或去過哪裡。
解決方法:
盡量使用現金
電子貨幣無疑使用上十分方便,但亦帶來行蹤容易曝露的缺點。最簡單的方法就是盡量使用現金付款,尤其是幾十蚊或者幾百蚊的款項,為一時方便而洩露自己的行蹤,似乎有點不值得。而且這個做法,還可以幫大家量入為出,避免因為「先使未來錢」而積累龐大卡數。
定時清洗付款紀錄
有些網上服務,會記下大家的付款紀錄,方便日後查回。但注重私隱的用家,不妨定時清洗這些留在 APP 內亦沒甚用處的紀錄,那麼之前去過哪裡,別人就未必能查得到了。當然,有些 APP 例如:Uber,大家是不能刪除過往行程記錄的,如果大家十分注重私隱,唯一可以做的就是不用這些服務。
通訊軟件洩密最普遍
今時今日,很多人都會透過不同的通訊軟件,例如:WhatsApp、LINE、WeChat 等與朋友聯繫,尤其是不少軟件更支援免費通話功能,當大家身處外國又或者在香港想聯絡身處遠方的親友,無疑是十分方便。不過想透過通訊軟相談公司的機密事,就要三思。
華哥表示除了可在目標手機殖入「按鍵紀錄」木馬外,也可以從公司的網絡中任何一台電腦安裝 Snipping 軟件,拆開封包看到聊天軟件所傳送及接收的訊息,就連 email 也可以拆出來。
解決方案:
使用加密通訊軟件
使用具備加密功能的通訊軟件,例如:近期開始流行的 Telegram 便是一例,兩方連接中間經過加密,就算在中間拆網絡封包都無法知道聊天內容。它具備私密聊天功能,以此模式傾計後,訊息連同不同的多媒體檔案均可被指定為自解構的訊息,當對方閱讀後,在指定時間內就會自動銷毀,相比之下更為安全。當然不能不提的是另一個軟件 FireChat,除了同樣具備端對端加密功能外,更可以在沒有網絡的情況下與附近的人通訊,即使有災難或出現網絡癱瘓,也不怕找不到救援。
公共 Wi-Fi
不少人為了節省數據用量,在街上會隨處找可以 Wi-Fi 上網的熱點。但如果大家用公共 Wi-Fi 登入較敏感的網上服務,例如:銀行服務、網購服務等,如果使用不明來歷的 hotspot,隨時會被記下或 hack 到登入資料,然後知道你的行蹤事小,利用網上銀行或網購戶口進行購物,就真的血本無歸了。
解決方法:
盡量使用加密 Wi-Fi
最簡單的做法,就是盡量使用加密 Wi-Fi 熱點,例如:政府不少建築物也有提供加密 Wi-Fi 熱點,只要連結了這些 hotspots,由於連線是具備防入侵設計,無論上了什麼網站,別人也無法盜取 packets,較一般公共 Wi-Fi 安全。不過建議在公共Wifi 環境下,最好不要連上網上銀行或網購網站。
硬碟 clone 走慢慢睇
很多董事都會把個人電腦/notebook 的作業系統上鎖,進階一點的會懂得在 BIOS 加密碼,但其實 BIOS 有萬用密碼,對於間諜或偵探完全不是難事。
華哥說,今日 SSD 主導下「clone碟」(clone harddisk) 所需的時間已經越來越短,用家只要將目標者的電腦關機,插入手指 ,選擇 usb boot 機,就會自動快速將目標電腦內所有 harddisk 的資料 Clone 走。
解決方法:
加密重要檔案
無論是家用桌面電腦、手提電腦或隨身的智能裝置,相信都會內藏不少較機密的檔案,最好就安裝適當的加密軟件,就算 harddisk 被人 clone 走甚至整台電腦偷走,對方沒有解密密碼都開不到。
電腦加密軟件推介:
Windows / Mac OS / Linux:VeraCrypt(點按可下載)
Linux only:LUKS(點按可下載)
智能裝置加密軟件推介:
加密程式(Android):Smart AppLock(點按可下載)
相片及影片加密(iOS):Photo Vault & Videos Safe App(點按可下載)
相片及影片加密(Android):照片保險箱(點按可下載)
文件 / 相片 / 影片加密(iOS):秘密照片KYMS免費:跳馬隱藏和鎖定照片,視頻,文檔(點按可下載)
文件 / 備忘錄加密(Android):aVault Secure Document Encrypt(點按可下載)
採用手機加密空間
至於手機方面,可能有些 wire 民會覺得一般的 Android 手機不太安全,而 iPhone 由於採用封閉式 OS 系統,相對比較安全,但近年亦時有傳出從 App Store 下載的軟件內藏木馬的新聞。所以如果極度注重私隱的朋友,不妨考慮購買具備加密空間功能的手機,例如:Samsung 的 Galaxy 系列,它就有私密文件夾功能,可將需要加密的檔案、文件、相片、影片甚至 APPS 儲存在獨立於主機的空間內,而且需要獨立密碼進行解鎖。雖然要取回這些資料需要每次登入,比較麻煩,但私隱始終是無價,就算麻煩一點也值得吧?
盡量避免使用生物認證
另外有一點值得一提,雖然今時今日生物認證,例如:指紋、虹膜、人臉等認證功能,令大家為手機解鎖更方便,但問題是如果萬一不慎被挾持,不法分子就很容易要大家被迫以生物認證功能解鎖,從而令手機內的機密檔案外洩。華哥表示如果要避免此情況出現,最好還是用回傳統加密方法,例如:混雜大細階數字標點符號的密碼、較為複雜的圖案密碼等,雖然會麻煩一點,但愈複雜的密碼要破解亦更難,手機內的機密資料自然相對更安全。
智能電腦及手機內 木馬/ 瀏覽器 / Cookies
受訪者表示,「入行」資格越來越易,除了所有個人資料都在雲端外,就連追蹤設備都省下來。因為最高科技的追蹤器,每人都有一台或兩台在身 – 智能手機
簡單說,智能手機集合了 GPS 追蹤、偷聽器、 SPY Cam 及密碼紀錄器於一身的強勁裝置,只要把木馬殖入,殖入者就可以透過你的手機定時拍攝、錄音及把 GPS 資料傳出,使用者除了會感到電池用得比較快外,其他不會有異樣。
又例如用家瀏覽的網站,為了更快輸入密碼,大部分瀏覽器都會透過 Cookies 記錄你上過什麼網頁或者輸入過什麼登入名稱及密碼。雖然這些未必會直接洩露你的行蹤,但會知道你更多的秘密。
解決方案一:
定時清除 Cookies
要避免電腦這情況,最簡單就是定時清除 Cookies 及瀏覽紀錄,而且不只電腦要如此做,就連隨身的智能裝置亦應如此,這樣別人就不知道你瀏覽過什麼網頁了。
解決方案二:
使用無痕瀏覽器
另一個方法,就是使用無痕瀏覽器。實際上,無論是 Chrome、IE、Firefox、Safari 等,均設有無痕瀏覽功能,用此功能瀏覽過的網頁,基本上不會記下任何 cookies 或記錄,這樣上網就更安心了。
解決方案三:
安裝防衛軟件
另一個就是要安裝防衛軟件。不過今時今日安裝防衛軟件,不只是指為防止病毒入侵電腦或智能裝置的防毒軟件,更重要是可嚴防 Adware、Malware 或內藏惡意代碼或木馬的安全軟件,因為這類 *-ware 有機會盜取你電腦或智能裝置內的個人資料,用於不知名的用途。所以安裝這類軟件,比安裝防毒軟件更重要!
電腦安全軟件推介:
Step 1:普通清除 rootkit-Kaspersky TDSSKiller(點按可下載)
Step 2:深度清除 rootkit-Malwarebytes Anti-Rootkit Beta(點按可下載)
Step 3:清除木馬-Malwarebytes Anti-Malware Free(點按可下載)
Step 4:清除間諜軟件-HitmanPro(點按可下載)
Step 5:清除廣告軟件-ToolsLib AdwCleaner(點按可下載)
Step 6:清除剩餘「垃圾」-CC Cleaner(點按可下載)
智能裝置安全軟件推介:
防毒軟件(iOS + Android):Avira Mobile Security for iOS(點按可下載)/ Avira Mobile Security for Android(點按可下載)
整體防護(Android):Kaspersky Internet Security(點按可下載)
防止木馬(Android):Malwarebytes Anti-Malware(點按可下載)
終極方案 : 轉用非智能手機
當然,其實大家都可以考慮一個另類選擇:就是用回傳統只能打出打入電話的手提電話,例如下面這一部……LoL