「2019 網路治理研習營」開放報名!

網路引領我們邁向智慧化生活的數位時代,但同時也衍生破壞安全、侵犯人權、製造社會衝突等新型態的濫用行為。網路是我們所有人共同擁有的珍貴資源,唯有透過所有多方利害關係人(multi-stakeholder)的溝通對話,才能找到治理網路的最佳方案。因此,不論您是來自政府部門、民間企業、學研單位、公民團體,或是仍在大專院校就學,如何因應數位變革所帶來的契機與挑戰,需要您的積極參與。

「2019網路治理研習營」為兩天一夜的免費人才培訓活動。透過課堂講習與模擬演練,帶您認識網路安全、人權、數位經濟、新興科技、網路內容等重要議題,以及如何參與這些議題的政策討論。優秀學員還有機會出國參加 2019 APrIGF(亞太區網路治理論壇)。本活動名額有限,敬請把握報名良機!

活動網站:https://www.igcamp.tw 

「第32屆TWNIC IP政策資源管理會議」歡迎您踴躍報名參加!

TWNIC將於6月20日於台大醫院國際會議中心舉辦「第32屆TWNIC IP政策資源管理會議」。

本會議提供各界有關網路技術研究、產業發展之溝通交流平台。將針對台灣及全球的新興網路服務的重要關鍵技術及應用服務的發展趨勢進行研討交流,並邀請國際重量級貴賓進行專題演講。

本會議系列活動資源寶貴,名額有限,場場精彩可期,意者請儘速報名,以免向隅。欲報名及瞭解詳細議程內容,請上活動網址:https://opm.twnic.net.tw/32nd/

閱讀全文 “「第32屆TWNIC IP政策資源管理會議」歡迎您踴躍報名參加!”

在競賽中訓練資安事件應變能力

為災難做好準備對於許多行業的應變人員是至關重要的,在資訊安全領域中,有一系列的練習競賽稱作「奪旗攻防賽」(Capture The Flag, CTF),參與者必須對其他隊伍的伺服器發動攻擊,在電腦資安事件應變小組(Computer Security Incident Response Team, CSIRT)或電腦緊急應變小組(Computer Emergency Response Team, CERT)的社群中,可以發現有事件應變的CTF。 閱讀全文 “在競賽中訓練資安事件應變能力”

透過全球協作對抗網路威脅

網際網路是由非常複雜的協議、數據和程式所建構而成,30年前當全球資訊網(World Wide Web)創建時,沒有人能想像網路會以如此飛快的速度和規模滲透到我們日常生活中,除了消費者試圖跟上不斷推陳出新的技術和應用程式,安全專業人員也努力了解新設備和其用途的影響,並確保使用者的安全。世界經濟論壇(World Economic Forum)網路安全中心的研究人員針對DNS安全撰文,本篇就其文章做重點摘要。 閱讀全文 “透過全球協作對抗網路威脅”

ICANN董事會將於伊斯坦堡召開例行會議

ICANN董事會5月1日至3日將於土耳其伊斯坦堡舉行例行會議。董事會主席Cherine Chalaby依慣例在會議前發表部落格文章,除鼓勵社群參與會議中的開放議程,亦分享董事會將於會議中討論的事項。

5月1日的會議重點是董事會中各委員會,包括技術委員會、當責委員會、反騷擾工作小組、財政委員會等的工作會議。其中最重要的,治理委員會(Board Governance Committee)將舉行「董事會決議流程」的訓練課程,同時董事會也將討論「如何判斷ICANN審核提出之建議事項的優先順序」。 閱讀全文 “ICANN董事會將於伊斯坦堡召開例行會議”

ICANN的難題:WHOIS與GDPR (下集)

次說到ICANN若想繼續提供RDS(並規定合約方也繼續提供RDS),必須證明自己有持續蒐集註冊人資料的合法目的

現在ICANN有了蒐集註冊人資料的合法目的,但哪些資料可以公開,哪些資料又必須遮罩才能保障註冊人隱私並避免觸法呢?EPDP小組在第一階段結案報告中,提供了他們認為的最佳答案。

根據EPDP第一階段結案報告,未來公開、可搜尋的RDS資料中,將不再顯示註冊人的姓名、電話、地址、電子郵件信箱等資訊(但仍會顯示註冊人所在國家、州/省)。 閱讀全文 “ICANN的難題:WHOIS與GDPR (下集)”

何謂Phishing?

Phishing,又稱為網路釣魚,是一種有心人士透過偽裝、假冒真實的網頁,騙取受害者信任,進而達到獲取受害者個人資料、帳號密碼甚至信用卡資訊等行為。受害者可能會收到熟識的友人寄來的email或網址,讓使用者點選email或該網站,並且在受害者進入釣魚網站之後,要求使用者輸入個人的帳號密碼等資訊,就這樣將自己的資訊給了有心人士。

針對網路釣魚,又分為幾種技術—

  1. 假冒網址:針對釣魚網站的網址幾個字元進行修改(1與l、0與O、m與rn…),讓網址看起來容易被誤認為原本的網址,但其實已非使用者所欲前往之網站。例如google.com,有心人士可將其改為www.go0gle.com或www.g00gle.com,乍看之下似乎為正常網站,但實際上卻已落入假網站之陷阱中。
  2. 網頁偽造:釣魚網站的排版、圖案、標示,與原本使用者所欲前往之網站極為相似或相同。因此,使用者若不小心連到假冒的釣魚網站,輸入登入之帳號密碼或個人資料,就會讓有心人士收集到受害者的個人資料。
  3. 電話網釣:雖然稱作『網路釣魚』,但並非所有攻擊手法均需透過電腦完成。有心人士也可能透過電話致電到受害者家中或手機,表示自己是某家公司或銀行等受害者曾使用過的網站,並且告知受害者其帳戶有問題,要求受害者輸入或告知相關資訊。甚至有些電話網釣在撥通後,就會要求使用者鍵入自己之相關資訊,導致其個人資料和敏感資料之洩漏。而這些電話網釣,有些已不似過往會顯示『不明來電』等隱蔽的電話系統,現已有使用假冒的相關資訊,降低受害者的戒心,進而達到更佳的詐騙率。
  4. WiFi免費熱點網釣:在人人都有智慧型手機的時代,到了咖啡廳、活動場地、甚至捷運等大眾運輸工具時,都會有免費的WiFi提供一般民眾連線。此時就會有駭客,開啟名稱相似相似/相同的熱點,例如台北常見的Taipei Free免費公共熱點,有心人士可能會於鄰近台北市的地區、將熱點名稱改為TPE-Free,讓曾經使用該熱點的使用者,毫無戒心地使用了TPE-Free熱點。而此時,當受害者連入該假冒熱點,後續所瀏覽的網頁、填入的資訊、自己的帳號密碼、甚至信用卡資訊等重要資料的傳輸,若沒有經過https的加密,就會經由該熱點傳入網際網路,因此,有心人士只要攔截下使用者寄出之封包,便能查看裡面所有訊息,並且用於其他用途中。

HINT:

釣魚網站可以想做一家黑心公司,想要讓客人去到錯的店家、花費更多的錢去買類似的商品。

因此 (1)店家有可能將路上的路標進行更改,例如將鼎泰豐的名字改為頂太風,並且放置顯眼的路標,讓一般人信以為真並且前往了假冒的頂太風 (連結操控)。

(2)並且在受害者進入店家之後,其裝潢和網路上查到的照片相差無幾,除了價格的差別之外,菜單內容也和其他人士提供的一樣,因此受害者就會輕信這一家是真的鼎泰豐。並且店家可能將價格比真正店家提高之外,還可能要求受害者進行申辦會員卡或餐與優惠活動等,取得受害者資料、好進行後續的詐騙(網頁偽造)。

(3)確認會員資料過後,該假冒店家會在受害者用餐後幾天,致電給消費者,除了進行一般制式化的消費者滿意度調查以確保消費者下次的到訪外,還可能謊稱當初使用者刷的信用卡有問題,請使用者提供相關資料。而真的有前往該假冒店家用餐的使用者往往不疑有他,就將私人相關資訊給了店家,而該店家便可以透過這些資訊做盜用、偽造、甚至轉賣個人資訊等用途賺上一筆 (電話網釣)。

(4)除此之外,該假冒店家可以告知消費者店裡有促銷活動,邀請消費者再次前往該店家用餐,並且在消費者前來之後,紀錄下消費者和友人的對話,便可以取得受害者談話中提到的個人訊息,例如交友狀況、生日、學歷、公司等資訊,甚至可以透過店家的誘導話術,取得更加隱密的其餘資訊,讓店家可以以此延伸詐騙該受害者相關人士,甚至販賣給其餘對個資有興趣之有心人士 (WiFi免費熱點網釣)。

釣魚網站

在數種網路釣魚手法中,最為常見的非「網頁偽造」莫屬。亦即透過上述的技術,先製作出一假冒的相似網址,網站內不論是其色彩、放入之圖片、相關可使用之功能均與真正的網站相差無幾。甚至有些釣魚網站僅偽造首頁/登入頁,當受害者於假冒的首頁/登入頁鍵入私人資訊並登入後,釣魚網頁會將使用者導入真正的網頁,導致使用者因後續均使用真正網頁進行相關運作,因此對於被詐騙的事實毫無察覺。

當駭客架設釣魚網站後,接著可透過Email、通訊軟體、社群媒體等方式進行散播,通知所有目標受害者宣傳釣魚網頁、誘使受害者點擊進入釣魚網站並登錄相關之個人資訊。此時,不僅僅因為受害者鍵入了自己的私人資料而導致個資的外洩,同時極有可能當受害者點擊了該網站,就使得電腦進行了惡意軟體的自動下載,使得電腦因此感染了惡意病毒等威脅。

對於一般人而言,釣魚網站的最簡單辨識方式可能是網址列上的鎖頭,有鎖頭代表著該網站的連線過程是有進行加密的,但是不代表這個網站是安全的。根據Phishlab於2018/12月的統計指出,大約有49%的釣魚網站一樣是有使用https進行加密。因此使用者也可以將滑鼠移到鎖頭上檢視,若該網站使用的憑證為公開且安全的,瀏覽器會告知使用者該網站的憑證是公開且安全的憑證,若顯示為不安全的憑證就有可能是釣魚網站,建議可經由google搜尋後進入該網站之官網,較容易避免進入釣魚網站。網站的安全性。

除此之外,有些有心人士本身還會自行偽造看似正常的網址列圖片,放置在網頁的頂端。即便該網站是假冒的釣魚網站,如此一來,其不僅是擁有看起來正常的鎖頭,該網站更是擁有一切正常的網址顯示。尤其是透過手機瀏覽網頁的使用者,由於手機本身有自動隱藏網址列的特性,因此對於有心人士而言,要偽造出一個讓使用者看的假網址列是非常簡單且不易被發現的事情。對於一般使用者看來,就跟正常網站並無二致,導致使用者將自己的個人資訊洩漏給釣魚網站。

小心防範釣魚網站

由於網路的發展逐漸往「簡單」、「方便」的方向發展,為了減少使用者的麻煩,網際網路上的協定和設計越來越簡潔,導致越來越容易產生的詐騙釣魚漏洞。但對於一般使用者而言,信任於網際網路給予的便利性,反而會疏於防範可能的危險,尤其是這些以假亂真的釣魚網站。因此,一般使用者須注意以下幾點,以防範落入釣魚網站的陷阱中。

1. 注意網域名稱:
對一般使用者而言,最先能夠、也最需要注意的便是網址列上列出的網域名稱(網址)。雖然有心人士常常會用讓人容易產生混淆的網址,讓使用者在不注意的情況下落入陷阱,例如www.twcert.org.tw轉為www.twecrt.org.tw或www.tw-cert.org.tw等極為相近的網址。建議可以將常用的網站存成我的最愛,或是自己於網址列中輸入常用網址,都可以減少遇上釣魚網站的風險。

2. 不亂點擊來路不明的連結:
一般使用者,在收到標題看起來聳動、吸引人,甚至看起來相識的人所寄之電子郵件或訊息時,都會因好奇心而點擊訊息中的網址連結。然而,這些通常標明「特價」、「贈品」、「公務聯繫」等訊息,多半都是利用人們的好奇心,引誘人點擊之後,蒐集個人資料之外,更有可能會讓電腦感染上惡意程式。由於email的寄件者是非常容易偽造的,因此看似正常的公務email訊息,也有可能是駭客假冒的釣魚信件,例如收到了tw-cert@cert.org.tw的訊息,或許看起來正常,但tw-cert@cert.org.tw不代表真的是由cert的人所發出的郵件,也曾經發生過有心人士透過假冒供應商的email寄信給公司業務承辦人員,要求承辦人員進行付款等作業並提供匯款帳戶作業。而處理該事件的承辦人未仔細進行比對,因而將應付款項匯款置假帳戶中,直到合作廠商前來請款,承辦人才發現遭受有心人士詐騙。

3. 仔細觀察網站:
對於常用的網站,一般使用者就算沒有真的仔細觀察過,多少也會對該網站有所記憶。因此進入一網站時,可以先觀察該網站的狀況,查看是否有圖片或是字體等,和原本的網站是不同的,留心是否進入了釣魚網站,提高警覺。

4. 檢閱網站的安全鎖頭:
檢閱網址列上的網址旁是否有鎖頭。若沒有鎖頭、甚至出現了『不安全』字樣時,使用者就必須要特別注意,是否有可能落入釣魚網站。然而,正如前述所說,即便該網站有鎖頭,也不代表能夠完全信任該網站,因為鎖頭僅代表該網站有使用HTTPS,而目前約有一半左右的釣魚網站同樣有使用HTTPS,即便獲得了SSL憑證,也必須要小心進入了錯誤的釣魚網頁。

5. 安裝防毒軟體、定期更新系統:
除了以上的防範方式之外,本中心也建議使用者在電腦中安裝可信的防毒軟體或防火牆,許多防毒軟體同時都有內建惡意網頁、釣魚網頁的黑名單,當使用者連線到釣魚網頁時,防毒軟體會在瀏覽器上提出警告,同時,由於電腦系統的更新通常都是用以提升電腦的功能和防護力,因此建議定期更新電腦或手機系統,以取得最新、較為安全的作業系統,以免上了釣魚網站的當,讓電腦感染了惡意病毒,影響電腦正常的運作。

6. 定期更新瀏覽器:
現在主要的瀏覽器都有提供黑名單的功能,當使用者連線到有人通報的釣魚網站或惡意網頁時,都會再次提示使用者所連線之網頁為有問題之網頁,並再次確認是否要進行連線。

參考資料:

資安研討會及活動

「網路社群與數位合作」專家座談會

活動時間:2019/5/13
活動地點:IEAT會議中心8F國貿講堂
活動網站:https://twnic-icann.kktix.cc/events/108-3
活動概要:全球社會在數位時代中面臨了如安全、公平、道德和人權等問題,而當前的國際合作方式與合作程度仍不足以因應這些挑戰。國內外的社群成員面對這些新的科技發展議題衝擊時所形成的意見與想法也需要表達及參與討論的管道。在多方利害關係人的模式下,鼓勵各個層面的利害關係人積極參與網路治理議題的討論,即為促進利害關係人合作、瞭解相關議題,並建立對議題共識的方法之一,本次座談旨在鼓勵臺灣的網路社群作為利害關係人,一同探討國內科技發展、數位發展以及需要優先行動的領域所產生的議題。
藉由提出議題,與相關領域(學界、網路組織、公民社會等)之其他利害關係人代表交換數位科技發展情形、可協同合作的形式等方面的意見,幫助臺灣的網路社群瞭解國內網路公共政策議題可能的影響,同時提升對數位合作相關議題的認知。


TANET 2019 – 臺灣網際網路研討會 資訊展望 X 5新啟航

活動時間:2019/9/25–9/27
活動地點:高雄國際會議中心
活動網站:https://tanet2019.nsysu.edu.tw/index.php
活動概要:TANET2019臺灣網際網路研討會以「資訊展望、5新起航」為主題。因科技的日新月異,使物聯網絡擴大成熟,經濟和生活將迎來重大變革,同時影響智慧校園的發展,也為教學形式上碰撞出新的火花。本次大會圍繞著五大主軸「物聯新通訊、智慧新生活、雲端新服務、資安新防護、軟體新應用」擴展,全方面探討物聯網絡時代帶來的關鍵課題。
5新議題延伸的子議題涵蓋5G網路通訊、人工智慧及其應用、前瞻資安研發、網路規劃建置、物聯網(IOT)、深度學習、網際網路技術、區塊鏈、軟體工程等多達55個領域,將徵求各方資訊從業人員於本次大會發表優質論文,進行深度探索,交流切磋。大會也將邀請產、官、學界資深專家進行精彩的專題演講,以及各類議題討論、論壇分享、資安體驗營、戶外參訪等活動,藉由不同交流形式,共覽學術面及實務面的最新技術發展,使與會者從5新啟航,激發創意思維,共同展望智能時代的美麗新境界。


Taiwan Cloud Edge 台灣

活動時間:2019/5/15
活動地點:台北國際會議中心 (TICC)
活動網站:https://cloudsummit.ithome.com.tw/index.html
活動概要:

  • 把握數位轉型的決勝之年
    隨著5G商轉在即,可望加速邊緣運算起飛,密集催生大量的創新產品與服務,順勢揭開下一波市場淘汰賽的序幕。面對生存保衛戰,企業不容遲疑觀望,急需武裝自己、提高競爭力;透過本活動,您可深入了解混合雲、DevOps、IoT、AI…等數十種雲端技術內涵,進一步理解如何活用它們,快速強化數位創新能量。
  • 將資安內化於數位創新
    不少企業因懼怕遭受網路攻擊,延緩數位轉型的腳步。有鑑於此,本活動不僅引領您躍上雲端、擁抱科技融匯的 IT 新世界,也不忘帶您掌握企業雲端應用安全邊界,知道如何將資訊安全融入數位發展戰略,在業務創新、風險控制天平兩端之間建立最佳平衡。
  • 結合案例分享,創造臨場體驗
    臺灣雲端大會處在新技術浪潮尖端,屢屢放送包括 Cloud Native Computing、AI、IoT、Edge Computing、DevOps、Microservices、Serverless、Blockchain…等大量新知;難能可貴的是,大會不只關切技術理論,更重視管理與應用實務,因而致力規劃案例分享議程,使學員得以增加臨場感,更懂得將新技術運用在企業 IT 發展實務。
  • 互動Hands-on Lab,練就實戰功力
    一直以來,「實機體驗課」(Hands-on Lab, HOL)始終是臺灣雲端大會的一大亮點,2019 活動現場也不例外!除了特別設計互動式實機環境外,更搭配專業講師的教學引導,帶學員深入了解雲端新技術或新服務的應用環境,學習相關設定、流程或指令,透過做中學、不空談,把這份能力帶回企業工作崗位。
  • 新世代雲端資料中心
    邁向新世代雲端機房,實現雲端運算理念,滿足企業雲端商務應用!雲端主導未來新商業模式的創新與發展,資料中心則是現代數位經濟的核心能力。新世代雲端資料中心議程,旨揭分享各產業且不同規模的企業所需要的雲端資料中心專業案例。

DEF CON 27

活動時間:2019/8/8–8/11
活動地點:Paris Las Vegas. Las Vegas, NV 89109, US
活動網站:https://www.defcon.org/
活動概要:
The DEF CON 27 Theme: ‘Technology’s Promise’:
DEF CON 26 was about the inflection point between disorder and dystopia – the moment before the point of no return. The DEF CON 27 theme, in a way, responds to ‘1983’ with new questions. What does it look like when we make the better choice? What kind of world do we hack together in the sunniest timeline? How does our real best-case scenario compare to the future we’ve been dreaming of for generations?
Extra consideration will be granted for submissions that tie into this year’s theme. We want you to hear about your hacks and research, and how will it relate to the discussions below.

  1. Cypherpunk and “engineering out of the problem”.:
    Tim May was once quoted saying anonymity online would “alter completely the nature of government regulation, the ability to tax and control economic interactions, the ability to keep information secret.” At the time his manifesto was for “both a social and economic revolution” and so began the newly formed “Cypherpunks”. Cypherpunks invented cryptography with the aim of abolishing big brother, but 30 years later we have big corporations in their place. Large corporations have insured that the 21st century hasn’t come without compromises.
    Crypto-anarchism is still alive and well today in well known examples like Tor, Freenet, cryptocurrencies, etc. Tell us what you’re doing now to circumvent the future we’re living in? Corporations are developing advanced facial recognition and becoming “the new big brother”. Social media is exchanging a false sense of freedom at the expense of a total removal of anonymity. The Cypherpunk ethos will have to adapt now that we have merged the “instagram-able” life, biometrics, ML, IOT, and micro-targeting. To build a future that doesn’t limit our love of modern technology and socialization at the expense of freedom will require decentralization and anonymity technology breakthroughs. What are you doing to engineer your way out of these problems?
  2. “Keep InfoSec out of Hacking”:
    DEF CON wants to support the culture of hacking. Between the TV interviews and the assessments we are still the same people with funny names threading the eye of the needle to make the next breakthrough. Hackers have become mainstream, seemingly to leave the underground to make a “legitimate” living. The industry has developed policies for ethical hacking, multimillion dollar pentesting orgs, bug bounty programs, and set the foundations of security for behemoth corporations. Being paid for hacking was the dream, but now it is an industry unto itself that focuses predominantly on enterprise.
    DEF CON is a hacker con, not an InfoSec conference. Hackers are more focused on the joy of discovery, irreverence, novel if impractical approaches. InfoSec is more focused on enterprise, frameworks, and protecting the interests of share holders. There is great value in both types of content, but our con is a hacker con by design.
    Activities that enable the hacker mindset and demonstrate how to master a certain technique are always going to be selected over a great enterprise InfoSec talk. DEF CON has always tried to provide a way to amplify the work of hackers, to create a venue for research that allows for others to grow. The idea that technology should be free was written into the subtext of “The Hacker Manifesto” and is just as valid today as it was 33 years ago.
  3. We want the computer from Star Trek, what we’re getting is HAL 9000.:
    At DEF CON 24 we hosted DARPA’s Grand Cyber Challenge, a challenge to the innovation community with a $2M prize to build a computer that can hack and patch software with no one at the keyboard. This was a lot of fun, and yet there were whispers among us of a future where artificial intelligence will render some human jobs irrelevant. We can see ourselves approaching an event horizon of automation. This technology is not without a price, but how do we get to the utopian world where we ask a computer to make us a cup of earl grey without landing ourselves in a black mirror dystopia? Engineers are developing smart home devices with disembodied voices, while hackers are quick to shout tropes of “NSA listening devices”. Is the reckless misuse of technology leading us to a dark future? What can hackers do to help achieve the sunniest timeline?
    Above are some suggested topics that loosely align with the theme, we consider all talk subjects. If your talk doesn’t fit in one of these topics don’t worry, the suggested themes are just a starting point. We’ve dozens of speaking slots, the tracks will be filled with a clustering of subjects; hardware hacking, lock picking, mobile hacking, reverse engineering, legalities of hacking, and more.

挖礦蠕蟲「Beapy」對亞洲企業造成嚴重威脅

Symantec 資安研究人員發現一支全新的惡意挖礦蠕蟲「Beapy」,正對亞洲各國的企業造成嚴重威脅,特別是中國境內企業受害最深。

這支前所未見的惡意挖礦軟體,係透過釣魚郵件進行散播;一但成功感染,就會透過已知的兩個 Windows 漏洞 EternalBlue 與 DoublePulsar,對感染者的內網發動大規模攻擊,利用受感染電腦進行挖礦。

被這類挖礦蠕蟲感染的電腦,除了速度會變慢,造成使用者生產力下降外,也容易因為過熱導致系統提前損壞,造成企業電費和 IT 維護支出增加;如果感染的是雲端主機,雲端的使用費也會增加,更有可能造成重要資料外洩。

據 Symantec 觀察,Beapy 主要感染對象 98% 都是企業設備;受害者以中國企業最多,占 83%,次多的是日本與南韓企業,台灣企業也有 2% 左右遭駭。

資料來源:

  1. https://www.symantec.com/blogs/threat-intelligence/beapy-cryptojacking-worm-china
  2. https://www.scmagazine.com/home/security-news/new-cryptomining-worm-beapy-targets-asian-enterprises-while-ignoring-consumers/

內藏詐騙廣告機制,中國大型開發者 App 遭 Google 大批移除

中國大型 App 開發商 Do Global 有 46 支 App,因內含詐騙廣告機制,遭 Google 自 Play Store 中下架。

由中國網路巨人百度公司持股 34% 的 App 軟體公司 Do Global,遭美國媒體 Buzzfeed News 踢爆,其開發的多支 Android App 內含惡意廣告詐騙機制;Google Play Store 隨即祭出鐵腕,將該公司上架的 46 支 App 下架。

Google 除了將這些 App 下架外,也將 Do Global 自旗下的 AdMob 廣告聯播網中除名,因此該公司未來也無法自 Google AdMob 廣告播放中獲利。

資安廠商 Check Point 先前發現六支來自 Do Global 的 Android App,內含詐騙廣告機制;即使用戶沒有開啟 App,這些 App 也會暗中點擊廣告。這不但造成用戶手機連線費用增加、電力下降、速度變慢、手機升溫、提高故障率,更造成 Google 在廣告刊登費用的巨額損失。

據報導,Do Global 在 Play Store 中上架了近百支各式 App,每月活躍用戶超過兩億五千萬人,總下載次數超過六億次;但調查發現並非每支 App 都標示為 Do Global 發行。有些 App 標示為其他開發者發行,這也增加調查難度。

資料來源:

  1. https://research.checkpoint.com/preamo-a-clicker-campaign-found-on-google-play/
  2. https://www.buzzfeednews.com/article/craigsilverman/google-ban-play-store-do-global-baidu