【文╱陳韻涵輯】
美國丹佛大學日前舉辦趣味活動,提醒學生留意與日俱增的網路攻擊與網路釣魚(Phishing)事件。
網路攻擊在大專院校層出不窮,學校資訊安全管理單位設法提高學生及教職員對相關釣魚式網路攻擊的關注程度,並傳授線上自保招術。
丹佛大學教職員本月初舉辦網路安全活動,並透過行動藝術,推廣網路安全理念。
儘管各大專院校設有專職的資訊管理部門,也很難完全避免學校成為攻擊目標,並保護校內人士不受網路攻擊,只能不斷強化「維安工作」。
最基本防線 每個人提高警覺
丹佛大學網路安全行動主任馬塞洛‧盧(Marcelo Lew)表示,「我們持續改良工具並推陳出新,但每個人提高警覺是最基本的防線。」
數位原生代 易過度相信網路
馬塞洛表示,現在學生大多是「數位原生代」(digital natives),但這群年輕人未必具備網路安全素養,或過度信任數位世界,因而容易淪為網路攻擊的受害者。
2022年11月,線上媒體《高等教育內幕》(Inside Higher Ed)與美國大學議題顧問公司「College Pulse」協力進行「學生心聲」(Student Voice)問卷調查,結果發現超過50%的學生自稱曾透過學校信箱收到釣魚郵件,約33%的學生則曾收過通知,內容說明所屬學校遭受網路攻擊或資料外洩。
防詐騙電郵 校方提辨識指標
過去幾年來,丹佛大學的資訊科技部門已多次舉辦網路釣魚相關活動,避免師生與教職員落入詐騙電郵的「注意力盲區」。
丹佛大學的宣傳與議題管理資深主任席拉‧古德(Shira Good)說明,「比較不同學生留意釣魚電郵的時間,就可以發現花費時間少的人,經常淪為受害者。」
為了提高學生對釣魚郵件的注意力,校方規畫各樣活動,主動接觸學生,並研發更簡便的工具,協助學生辨識釣魚電郵。
校方歸納9個面向,供學生評估電郵的可信程度,包括商標畫質、寄件人的電郵地址、普通的問候語或沒有問候語、無故要求個人資料、令人誤導的縮網址、陌生網頁連結或選項、拼字或文法錯誤、奇怪的附加檔案,或是莫名其妙的急迫訊息等。
為吸引學生注意,校方與當地動物收容所合作,借來幾隻狗,讓狗穿上橘色的魚裝。當學生路過並駐足玩狗時,就能聽取諸多關於網路安全的知識,並有機會參加測驗贏得獎品,獎項包括知名連鎖咖啡店的禮物卡、學校的周邊商品,以及兩張該校的網路釣魚主題曲棍球比賽門票。
古德表示,「學生踴躍參與、答題,把獎品帶回家,其中最熱門的獎項是球賽門票。」
校方舉辦活動前後,分別發送釣魚詐騙電郵給學生,比較學生的點擊率。結果顯示,活動前的學生點擊率為45%,活動過後則只有5%的學生點擊詐騙郵件。
雖避開釣魚 通報意願待加強
古德表示,儘管學生學會如何辨識並忽略釣魚詐騙電郵,但學生通報學校資訊與技術部門的意願仍有待加強。活動結束後,通報釣魚詐騙郵件的學生僅增加2%。古德說,明年的活動將聚焦通報流程,改善學生對釣魚信件的關切程度,而不只是忽略了事。
●看現象╱學生個資檔案 成為駭客目標
近期以俄文交談的網路駭客竊取美國學校電腦存檔資訊,勒索學校付款,威脅校方若不從,就把學生接受心理輔導的紀錄等敏感隱私資料公諸網路,美國白宮8日召開網路安全會議商討對策。
當過老師的美國第一夫人吉兒‧拜登表示,「如果我們要捍衛孩子的未來,就必須保護好他們的個資。」
她說:「學生心裡不好受的時候,都必須有機會與學校的輔導員預約諮商,不用擔心雙方的對話會被其他人知道。」
網路安全公司「Emsisoft」統計,今年以來,美國已有至少48個學區的電腦系統遭駭客攻擊,比2022年一整年多出3個。駭客會先把學區官員的社會安全號碼(類似台灣的身分證字號)和金融資料竊到手,再啟動經過加密的勒贖軟體,並以俄文威脅學校,若不支付加密貨幣贖金,就把偷來的資料放上網,讓全世界都看到。
參與白宮峰會的政府官員、教育人士和科技業代表達成共識,網路安全與基礎設施安全局將評估高中以下學校的網路系統安全性,而亞馬遜、Google等科技大廠也願意提供免費或低價服務。
針對學生及其個人敏感資訊的網路攻擊層出不窮,聯邦贊助的非營利組織「網路安全中心」調查發現,2021年底之前,全美國約33%學區的電腦系統遭駭客入侵。
●看案例╱網校平台 駭客入侵 1700萬人 個資外洩
去年暑假,美國軟體公司「Illuminate Education」的伺服器遭駭客攻擊,讓不少學生的學業表現、智商分數、情緒與行為問題資料曝光。
Illuminate Education負責追蹤全美5200個校區、超過1700萬名學生的出勤紀錄、學業成績和「eduCLIMBER」線上互動平台,讓老師記錄學生的社交行為、情緒障礙、家庭狀況、智商程度和具攻擊性等行為表現的極機密、敏感的個資。
Illuminate Education遭駭攻,影響紐約市、洛杉磯等數十個校區、逾百萬名學生與畢業生。校方表示,該軟體內儲存的學生資料除了姓名、生日、種族或族裔、考試成績,還有學生的出勤率、移民身分、行為事件和殘疾狀況。
網路安全專家格林(Joe Green)表示,個資曝光對學生的影響深遠,恐怕衝擊學生未來申請大學或求職。
科技公司和教育改革者向來推動學校採用分類學生在校情緒、出席率和學業成果的軟體,雖然幫助老師找出和介入輔導高風險學生的立意良善,但當這類系統普及後,駭攻隨之而來,應有更完備的防衛機制,保障相關資訊不致外洩。
【2023-08-14/聯合報/R10版/R11好讀周報新識力】
