防駭客的基本認知：資料保護|數位時代 BusinessNext

駭客從攻擊中收集與整理出有用的資料是很花時間的，如果沒有把這些資料換成錢駭客也是會餓死，所以這篇文章以謀利的角度，舉一些常見的例子來說明駭客如何利用外流的資料與對應的影響。

但想不在網路上留下任何資料非常困難，所以文章最後也會提供一些防範方式與建議供大家參考。

網路上常外流的資料

先假設世界充滿惡意，拿到個人資料都是為了惡意用途，但很多狀況下不得不留下資料，最常見就是申請帳號才能使用的服務，申請帳號有一堆必填的欄位，個人資料就這樣拱手讓人。

除了個資之外，還有一些系統資訊常常在不自覺的狀況下外流，最常見的就是Google提供的廣告。當你發現網路上跳出的廣告其內容與你越來越相關，甚至在一些外文的網站看到中文廣告時，代表你的資料早已外流，大家都認識你了，而且隨著外流的資訊量越多，廣告也會越加精準。

綜上所述外流的資料可分為2大類，分別是個人資料與系統資訊，下面列出一些常外流需要注意的資料。

個人資料：舉凡姓名、出生日期、電話、地址、電子郵件、信用卡和身分證字號等。
系統資訊：IP、應用程式與版本和瀏覽資訊等。

外流後會發生什麼事？

駭客收集到越多的資訊，就能發動強度越高的攻擊，收集到個人資料中的聯絡資訊就能藉由發送廣告或詐騙來獲利，如果要入侵對方的電腦只有聯絡資訊是不夠的，需要更多的系統資訊。

資料外流的例子有非常多，根據IC3（FBI旗下的組織，美國最大的資安通報系統）提供的報告，在2020年造成金額損失最多的網路犯罪是BEC/EAC（透過電子郵件對匯款或付款資訊進行詐騙），細節可參考之前整理的另一篇文章《資安弱點會造成多大損失》。

因此這邊除了說明影響之外，也以電子郵件為例來說明資料外流後可能會發生的狀況，並且找一個真實案例的新聞，來幫助大家了解現實生活中這些事情如何發生。

類型1：廣告

不論你今天在任何網站上留下電子郵件訊息，最容易受到影響的就是開始大量收到廣告郵件，因為駭客已經將聯絡資訊賣給電商了。

實際新聞案例：《傳駭客以僅1千美金網上兜售5億筆微博用戶個資》

類型2：詐騙

接著駭客拿電子郵件到Google上面查詢，找到你留在網路上的個人訊息，駭客便會嘗試根據這些資訊設計釣魚郵件，想辦法從你手上騙錢。

實際新聞案例：《31億美元不翼而飛的慘痛教訓！企業員工郵件屢遭冒用，引發供應商匯款詐騙事件》

類型3：盜帳號（盜刷）

簡單來說當你外流的資料包含服務類型，駭客們會挑選有利可圖的服務來攻擊.

很多時候這些服務資訊是間接外流的，舉例來說如駭客找到你的電子郵件後發現你用的是Gmail，就代表著你有用Google的服務，駭客會嘗試登入你的Google帳戶，目標是刷爆你的 Google Pay。

實際新聞案例：《有不肖份子收購外洩帳密，嘗試非法登入國內多家電商網購平臺，東森5會員遭盜刷》

類型4：入侵

如果你的系統本身有弱點而且被駭客收集到這些資訊，就很可能成為入侵的對象。但更常見另外一種方式是，駭客將惡意檔偽裝成一般檔案來騙使用者點擊，像是在網站上提供下載，或者夾帶在電子郵件的附件中，執行後駭客直接就入侵到使用者的電腦，這時候駭客獲利的方式就很多樣了，常見的勒索軟體，殭屍網路，甚至是挖礦都能替駭客賺錢。

偽裝檔案這件事比想像中簡單很多，而且很容易被忽略。以下圖為例，仔細一點看可以發現這是一個名為「test_lmth.txt」的html檔案，但如果沒有特別注意當成文件檔來點擊，就直接連到駭客的網站去了。

這個檔案的真實檔名是「test_\u202Etxt.html」，但在Unicode，「\u202E」本身不會顯示之外，還會讓後方的文字會倒過來顯示，但對系統來說它是「test_txt.html」，設計這個顛倒功能的原因，是系統為了正確顯示阿拉伯語和希伯來語等從右到左的語言，但駭客卻可藉此來偽裝檔案。

實際新聞案例：《散布金融木馬IcedID、Qbot的垃圾郵件攻擊再度出現，在中國、印度等地造成災情》

不知不覺中外流的資料

有一部分外流的資料是使用者主動提供的，像前面提到的為了註冊帳號而提供資料，或者是被釣魚攻擊騙走資料，甚至是服務供應商不小心把資料外流等等，不論是哪一種使用者都至少會有一次提供資料的動作。

但有另外一部份的資料是使用者在不自覺的情況下外流出去的，因為前者主要涉及騙術而非技術，這邊會把重點放在後者的說明。

1.瀏覽網站

Request Header：
其實我們在瀏覽網頁的時候，瀏覽器早已不知不覺留下了很多資料。

以Chrome為例，這些資料需要按F12進入DevTools才能看的到，其中有一組在request header中的資料「user-agent」原本是用來讓網站知道瀏覽器的版本以提供更好的服務，但網站可以藉此推斷連線者的系統，另外一組「sec-ch-ua」也是一樣，像下圖可以明顯看出系統為windows 10，其他header依據狀況不同也會透漏各種系統資訊。

瀏覽紀錄:
部分網站除了記錄你的瀏覽資訊之外，還把這些資料送給其他網站。

以下圖為例，聯合新聞網把你看過那些新聞告訴了很多人，其中之一是廣告商Scupio酷比聯播網，這些資訊也可以在DevTools中找到。

惡意HTML/JavaScript：
有些網站本身就帶著惡意的程式碼，當使用者進入的或點擊按鍵，資料就會被攻擊者送到特定的地點。

下方的程式碼是一個比較常見於XSS攻擊的簡單例子，在點進有這段程式碼的頁面時cookie內的値就會被駭客傳送到111.222.333.444這個IP。cookie是很多網站用來識別連線者的一個欄位，如果你在登入A網站後cookie才被偷走，偷到它的人有很高的機會偽冒你的身份登入A網站。

部落格中也有數篇關於XSS的文章，有興趣可以進一步看更深入的分析。

2.收信

惡意HTML/JavaScript：
電子郵件接受跟網頁一樣的html格式，點開html格式信件的行為接近於開啟一個離線的網頁，所以電子郵件也跟網頁一樣會受到惡意HTML/JavaScript」所影響，在不經意間外流資料，但前面已經提過就不重複說明。

3.自架服務

網站：
如果有自架的網站，網站也會在你不注意的狀況下透漏相當多資訊。

以下圖為例，利用Chrome的套件Wappalyer可以很簡單知道這個網站用了哪些服務與版本，駭客透過這些外流的資料往下追，可以發現Apache 2.2.26這是一個相對舊的版本，大約是2013年發布的，有較多的弱點可以利用，這些資訊會吸引駭客進一步嘗試或攻擊。

檔案傳輸：
常見的像是自架的FTP伺服器，架完後較少維護，更少去注意資料是否外流，這些檔案傳輸伺服器駭客都找得到。光台灣就有6萬多台設備可以直接在網路上被找到，如果沒有做好設定，資料外流的機會非常高。

如何保護自己？

在這網路世界蓬勃發展的時代，如果因為怕避免資料外流而不敢在網路上留下任何資料，可以說是因噎廢食，但如何保護關鍵資料避免損失？

解決方案1：安全性設定

當Windows出現資安問題時，微軟比你還緊張，其他服務也是一樣的道理。

為了保護自家產品的安全開發商通常做了很多保護，這也是很多軟體常常會跑更新卻沒感受到新功能的主因，其實更新的是系統防護，但使用者常常不更新，甚至還為了方便把預設開啟的防護關閉，這些防護很多時候比防毒軟體還重要的多，這邊分享一些與資料外流有關的安全性設定，但確實更新也一樣重要。

瀏覽器（Chrome）：
安全性與隱私權設定 > 安全瀏覽 > 強化防護
安全性與隱私權設定 > Cookie和其他網站資料 > 封鎖第三方Cookie
安全性與隱私權設定 > Cookie和其他網站資料 > 將「不追蹤」要求與瀏覽流量一併送出

電子郵件（Outlook）：
信任中心設定 > 電子郵件安全性 > 以純文字讀取所有標準郵件
信任中心設定 > 自動下載 > 不自動下載標準HTML電子郵件訊息或RSS項目中的圖片

解決方案2：雙重要素驗證（2FA） / 兩步驟驗證（2SV）

網路上常見的是帳號密碼加上另外一個認證機制，像是登入時除了帳號密碼之外，還需要一組寄到手機的驗證碼，就算你帳號密碼被駭客拿到或猜到，沒有連你的手機一起偷走就沒有意義，但這類功能會增加使用者的麻煩，不是每種服務都預設有多重驗證，很多時候需要使用者主動啟用或申請，強烈建議所有與付款有關的服務都要開啟。

2FA（two-factor authentication）與2SV（two-step verification）的差異在於多出來的驗證類型是否與原本的相同。舉例來說除了原本的帳號密碼之外，某服務需要輸入身分證末4碼做為第2組密碼，但因為本質還是密碼所以只能算是2SA，如果需要額外加上的是指紋，就能算是2FA。

Google帳戶：
帳戶 > 安全性 > 兩步驟驗證

解決方案3：假帳號

目前網路上越來越多服務用電子信箱當帳號，這邊推薦一個相當好用的工具軟體來建立免洗帳號，避免收到垃圾信或者有人嘗試破解你的信箱，這個工具會隨機產生一組可以收信的電子郵件，而且會在10分鐘後永久刪除，不用擔心裡面的資料會外流。

10分鐘信箱：https://10minutemail.net/

解決方案4：防護軟體

雖然慢慢開始有些網站會在收集你的資料之前通知你，但還是很多網站偷偷收集你的資料，這邊推薦一個相當好用的Chrome套件來幫你阻止一些追蹤，其實這個工具已經在前面的範例中出現過了。

Disconnect：圖中紅色禁止符號的部分都是已經被擋掉的追蹤，基本原理是移除網頁中一些不影響運作的回傳値。

Shodan：這工具主要是快速檢查你外流了那些系統資訊，下圖是在Shodan的搜索結果之一與用到的指定，可以看到除了系統資訊以外連帳號都外流了。port:3389 country:"TW" os:"Windows 7 Professional"

總結

很多人在不知不覺中外流了不少資料，卻覺得不痛不癢，覺得駭客不會找上他，其實只是駭客不確定花時間攻擊你能不能得到足夠的回報，就像小偷做案前會先確認目標是不是有錢人、有沒有裝監視器或防盜等等。

防止資料外流的概念很接近現實生活中「財不漏白」的概念，刻意在路上炫富不一定會有事，但警察一定會建議你不要這樣做，除非你早就做好準備，背後跟著一堆保鑣。

個人資料中最優先保護的是與付款有關的資料（ex.信用卡），如果需要在網路上留下付款資料，最好先確認該服務有沒有支援多要素驗證，雖然多要素驗證多一個步驟使用上比較麻煩，但對駭客來說麻煩更大，多數狀況下是當麻煩到會讓駭客放棄攻擊你的程度，就代表這個防護方式是很有效的。

系統資料中最優先保護的是IP，一般用戶預設使用浮動IP所以就算外流影響也不大，因為較難靠浮動IP連到你的電腦，所以除非你已經做好保護，否則盡量避免為了自架服務而改用固定IP，讓駭客無法找上門就不用擔心門被攻破。

網站的話資料外流的方式比較多樣，除了示範的方法之外還有非常多，建議先以自動化的工具進行檢測，優先確認外流的資料是否與已知的高風險弱點有關，並修正與弱點有關的問題，如果無法立刻修正，至少想辦法把版本資訊藏起來。

前面為快速說明原理，挑了一些簡單易懂的方式來示範，實際上還有更多更進階的用法，如果閱覽數量夠多，之後會再加開一篇分享一些更進階的用法與經典案例，有任何資安方面相關的問題都歡迎留言討論，或者直接到Cymetrics尋求協助。

本文由Nick授權轉載自其Cymetrics Tech Blog

《數位時代》長期徵稿，針對時事科技議題，需要您的獨特觀點，歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw，文長至少800字，請附上個人100字內簡介，文章若採用將經編輯潤飾，如需改標會與您討論。

（觀點文章呈現多元意見，不代表《數位時代》的立場）

責任編輯：吳佩臻、侯品如

「代理式 AI 」（Agentic AI）的創新服務正在重新塑造企業對AI的想像：成為內部實際運行的數位員工，提升關鍵工作流程的效率。代理式AI的技術應用清楚指向一個核心趨勢：2025 年是 AI 邁向「代理式 AI」的起點，讓 AI 擁有決策自主權的技術轉型關鍵，2026 年這股浪潮將持續擴大並邁向規模化部署。

面對這股 AI Agent 浪潮，企業如何加速落地成為關鍵，博弘雲端以雲端與數據整合實力，結合零售、金融等產業經驗，提出 AI 系統整合商定位，協助企業從規劃、導入到維運，降低試錯風險，成為企業佈局 AI 的關鍵夥伴。

避開 AI 轉型冤枉路，企業該如何走對第一步？

博弘雲端事業中心副總經理陳亭竹指出，AI 已經從過去被動回答問題、生成內容的智慧助手，正式進化為具備自主執行能力、可跨系統協作的數位員工，應用場景也從單一任務延伸至多代理協作（Multi-Agent）模式。

「儘管 AI 前景看好，但這條導入之路並非一帆風順。」博弘雲端技術維運中心副總經理暨技術長宋青雲綜合多份市場調查報告指出，到了 2028 年，高達 70% 的重複性工作將被 AI 取代，但同時也有約 40% 的生成式 AI 專案面臨失敗風險；關鍵原因在於，企業常常低估了導入 GenAI 的整體難度——挑戰不僅來自 AI 相關技術的快速更迭，更涉及流程變革與人員適應。

博弘雲端事業中心副總經理陳亭竹指出，AI 已經從過去被動回答問題的智慧助手，正式進化為具備自主執行能力、可跨系統協作的數位員工。面對這樣的轉變，企業唯有採取「小步快跑、持續驗證」的方式，才能在控制風險的同時加速 AI 落地。

圖／數位時代

正因如此，企業在導入 AI 時，其實需要外部專業夥伴的協助，而博弘雲端不僅擁有導入 AI 應用所需的完整技術能力，涵蓋數據、雲端、應用開發、資安防禦與維運，可以一站式滿足企業需求，更能使企業在 AI 轉型過程中少走冤枉路。

宋青雲表示，許多企業在導入 AI 時，往往因過度期待、認知落差或流程改造不全，導致專案停留在測試階段，難以真正落地。這正是博弘雲端存在的關鍵價值——協助企業釐清方向，避免踏上產業內早已被證實「不可行」的方法或技術路徑，縮短從概念驗證到正式上線的過程，讓 AI 真正成為可被信賴、可持續運作的企業戰力。

轉換率提升 50% 的關鍵：HAPPY GO 的 AI 落地實戰路徑

博弘雲端這套導入方法論，並非紙上談兵，而是已在多個實際場域中驗證成效；鼎鼎聯合行銷的 HAPPY GO 會員平台的 AI 轉型歷程，正是其最具代表性的案例之一。陳亭竹說明，HAPPY GO 過去曾面臨AI 落地應用的考驗：會員資料散落在不同部門與系統中，無法整合成完整的會員輪廓，亦難以對會員進行精準貼標與分眾行銷。

為此，博弘雲端先協助 HAPPY GO 進行會員資料的邏輯化與規格化，完成建置數據中台後，再依業務情境評估適合的 AI 模型，並且減少人工貼標的時間，逐步發展精準行銷、零售 MLOps（Machine Learning Operations，模型開發與維運管理）平台等 AI 應用。在穩固的數據基礎下，AI 應用成效也開始一一浮現：首先是 AI 市場調查應用，讓資料彙整與分析效率提升約 80%；透過 AI 個性化推薦機制，廣告點擊轉換率提升 50%。

左、右為博弘雲端事業中心副總經理陳亭竹及技術維運中心副總經理暨技術長宋青雲。宋青雲分享企業導入案例，許多企業往往因過度期待、認知落差或流程改造不全，導致專案停留在測試階段，難以真正落地。這正是博弘雲端存在的關鍵價值——協助企業釐清方向，避免踏上產業內早已被證實「不可行」的方法或技術路徑，縮短從概念驗證到正式上線的過程，讓 AI 真正成為可被信賴、可持續運作的企業戰力。

圖／數位時代

整合 Databricks 與雲端服務，打造彈性高效的數據平台

在協助鼎鼎聯合行銷與其他客戶的實務經驗中，博弘雲端發現，底層數據架構是真正影響 AI 落地速度的關鍵之一，因與 Databricks 合作協助企業打造更具彈性與擴充性的數據平台，作為 AI 長期發展的基礎。

Databricks 以分散式資料處理框架（Apache Spark）為核心，能同時整合結構化與非結構化資料，並支援分散式資料處理、機器學習與進階分析等多元工作負載，讓企業免於在多個平台間反覆搬移資料，省下大量重複開發與系統整合的時間，從而加速 AI 應用從概念驗證、使用者驗收測試（UAT），一路推進到正式上線（Production）的過程，還能確保資料治理策略的一致性，有助於降低資料外洩與合規風險；此對於金融等高度重視資安與法規遵循的產業而言，更顯關鍵。

陳亭竹認為，Databricks 是企業在擴展 AI 應用時「進可攻、退可守」的重要選項。企業可將數據收納在雲端平台，當需要啟動新型 AI 或 Agent 專案時，再切換至 Databricks 進行開發與部署，待服務趨於穩定後，再轉回雲端平台，不僅兼顧開發效率與成本控管，也讓數據平台真正成為 AI 持續放大價值的關鍵基礎。

企業強化 AI 資安防禦的三個維度

隨著 AI 與 Agent 應用逐步深入企業核心流程，資訊安全與治理的重要性也隨之同步提升。對此，宋青雲提出建立完整 AI 資安防禦體系的 3 個維度。第一是資料治理層，企業在導入 AI 應用初期，就應做好資料分級與建立資料治理政策（Policy），明確定義高風險與隱私資料的使用邊界，並規範 AI Agent「能看什麼、說什麼、做什麼」，防止 AI 因執行錯誤而造成的資安風險。

第二是權限管理層，當 AI Agent 角色升級為數位員工時，企業也須比照人員管理方式為其設定明確的職務角色與權限範圍，包括可存取的資料類型與可執行的操作行為，防止因權限過大，讓 AI 成為新的資安破口。

第三為技術應用層，除了導入多重身份驗證、DLP 防制資料外洩、定期修補應用程式漏洞等既有資安防禦措施外，還需導入專為生成式 AI 設計的防禦機制，對 AI 的輸入指令與輸出內容進行雙向管控，降低指令注入攻擊（Prompt Injection）或惡意內容傳遞的風險。

博弘雲端技術維運中心副總經理暨技術長宋青雲進一步說明「AI 應用下的資安考驗」，透過完善治理政策與角色權限，並設立專為生成式 AI 設計的防禦機制，降低 AI 安全隱私外洩的風險。

圖／數位時代

此外，博弘雲端也透過 MSSP 資安維運託管服務，從底層的 WAF、防火牆與入侵偵測，到針對 AI 模型特有弱點的持續掃描，提供 7×24 不間斷且即時的監控與防護。不僅能在系統出現漏洞時主動識別並修補漏洞，更可以即時監控活動，快速辨識潛在威脅。不僅如此，也能因應法規對 AI 可解釋性與可稽核性的要求，保留完整操作與決策紀錄，協助企業因應法規審查。

「AI Agent 已成為企業未來發展的必然方向，」陳亭竹強調，面對這樣的轉變，企業唯有採取「小步快跑、持續驗證」的方式，才能在控制風險的同時，加速 AI 落地。在這波變革浪潮中，博弘雲端不只是提供雲端服務技術的領航家，更是企業推動 AI 轉型的策略戰友。透過深厚的雲端與數據技術實力、跨產業的AI導入實務經驗，以及完善的資安維運託管服務，博弘雲端將持續協助企業把數據轉化為行動力，在 AI Agent 時代助企業實踐永續穩健的 AI 落地應用。

>>掌握AI 應用的新契機，立即聯繫博弘雲端專業顧問