跳至主內容

在節慶期間採取網絡保安最佳實踐

接近年尾,大多數人正計劃長假期與家人和朋友團聚、購置新貨品或出外旅遊。隨著網上服務越來越普及, 在享受便利的同時,我們也應就節慶期間的網路保安風險保持警惕。

 
發佈日期: 2023年12月08日 4260 觀看次數

釣魚攻擊

除了購買商品作為節日禮物外,大家還可以在網上支付旅行費用,以從互聯網上領取機票和酒店的優惠和折扣。黑客亦會把握這個機會對網路用戶發動攻擊。從黑客的角度而言並與其他類型的網路攻擊相比,發動釣魚攻擊是一種較低成本且省力的方法。由於黑客製作釣魚內容與目標的官方網站非常相似亦不易辨別的釣魚內容,大家在日常情況下容易受騙和墮入釣魚攻擊陷阱。 黑客透過發送釣魚訊息或電郵來誘騙目標用戶打開惡意URL連結,甚至是可能包含惡意軟體的附件。據觀察,最近黑客針對香港用戶而創建一些冒充本地會員平台的釣魚網站。他們會欺騙用戶在釣魚網站上輸入登入資訊,並在成功登入後從帳戶中竊取敏感資訊,例如信用卡資訊。 以下是最近發現的釣魚網站例子,它們都是在冒充普及香港的會員平台。

 

 

除了偽冒網站,社交平台專頁亦湧現不少偽冒旅行社,並推出大量標榜「勁減」、「低至三折」、 「限時/限量推廣一折」等優惠吸引市民查詢,從而騙取受害人金錢及大量個人資料,包括姓名、身份證、信用卡資料、電話號碼以及家人的資料。就著這些社交平台專頁,市民怎樣分辨該專頁是否屬實及廣告訊息內容的真假?除了可以留意專頁是否有藍剔、讚好及追蹤人數的多寡外,還可以注意以下要點,提防網上購物騙案:

 

  1. 公司商標(Logo)或圖片不清晰:大多數黑客所選用的圖片都是截圖取得或從其他網頁盜取,並非使用原圖,所以像素較低。另外,可以使用谷歌圖片搜尋來搜尋是否在其他網站上找到了類似的照片。
  2. 聯絡資訊不詳細專頁所顯示的聯絡資訊並不詳細,或會以個人電郵或電話作聯絡方式。
  3. 管理人員所在地在國外:市民可透過專頁上的「關於」 > 「專頁透明度」查詢相關管理人員的所在地,若一些管理人員的所在地與專頁所在地有出入,就要警剔該專頁的真偽。
  4. 專頁名稱是否經常更改以及建立時間:由於每次的詐騙手法不同,所以專頁會經常更改名稱,建立的時間亦很短暫。

圖片1:市民可透過專頁的「關於」 > 「粉絲專頁透明度」查詢管理人員所在地及專頁建立時間

 

  1. 專頁內只有小量貼文:偽冒專頁內的貼文大多只有近期一至兩個月抄襲而來的貼文。
  2. 異常大量的讚好/留言:留意讚好/留言是否來自專頁目標群以外的國家及留言內容是否大致相同。

 

HKCERT亦刊登了「網路釣魚 全城防禦」專頁,向大家介紹更多有關釣魚攻擊以及如何防範此類攻擊的資訊。 公眾可以從這個專頁了解有關釣魚攻擊的訊息,包括攻擊技巧、預防、識別和處理可疑訊息的方式。

 

 

身份/憑證盜用

除了發動釣魚攻擊來引誘用戶提供個人資料外,黑客一旦成功盜取使用者的登入憑證還可以擴大攻擊規模,繼而冒充目標用戶身份針對他的家人和朋友進行攻擊。尤其是在節日期間,收到平時甚少聯絡的朋友的祝賀訊息亦不足為奇,因此警覺性或會降低。黑客會透過多種方式發動身份攻擊,包括中間人攻擊(AiTM)、偽裝廣告、社交工程攻擊等。大多數黑客的目標是得到用戶的帳戶登入,並在帳戶內執行惡意活動。有發現指最近黑客會創建虛假的 WhatsApp 登入頁面進行身份攻擊,並將惡意網頁在搜尋引擎結果內置頂。 如果用戶不小心瀏覽惡意網頁並進行登入,黑客就可以騎劫帳戶並存取 WhatsApp 帳戶中的所有資訊,從而發動進一步攻擊。

 

 

要了解有關身份/憑證盜用的更多資訊,請在此訪問保安博錄「您知道什麼是身份/憑證盜用嗎?」。

 

 

保安最佳實踐

如要在數碼時代裡體驗安全的旅行和在購物時無憂無慮,大家應考慮採取以下保安最佳實踐。

 

有關出外旅行時的保安最佳實踐:

 

  1. 使用私人裝置去登入個人帳戶,避免使用公眾共享的裝置;
  2. 連結到可信的Wi-Fi熱點,避免連接到保安設定較低的Wi-Fi熱點;
  3. 檢查你的網上帳戶會否有任何可疑發入;
  4. 在使用流動支付方式購物時加謹小心,在確認和進行付款前先核對收款人和金額;
  5. 如需要瀏覽網頁或掃描QR Code,在輸入任何資訊前先驗證URL連結的真確性;
  6. 不要點擊或打開使海外SIM卡接收的連結或附件,它們可能與釣魚攻擊相關;
  7. 如有需要,只從官方網頁和應用程式平台中安裝應用程式;
  8. 不要使用不明來歷的公衆充電插頭,以防受到「Juice Jacking」攻擊;
  9. 不要將您的裝置放在無人看管的地方; 及
  10. 將在家中和辦公室內不需使用的裝置關閉,在旅行時當你在晚間不再使用隨身裝置時亦將它關閉。

 

有關網上購物時的保安最佳實踐:

 

  1. 切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性,例如檢查清楚網址有否拼寫錯誤、文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密,應倍加小心,不要在沒有加密的情況下輸入敏感資訊;
  2. 定期轉換網購平台賬戶密碼,於不同的帳戶使用不同的密碼,以防止其中一個資料被外洩後牽連其他帳戶;
  3. 如果購物平台支援多重認證,用戶應將其啟用以加強保安;
  4. 只經官方網站或手機應用程式購物或查看訂單情況;
  5. 不要在平台的網上帳戶裡上儲存任何敏感資料,例如信用卡資訊等;
  6. 定期檢查自己的網上付款記錄,查看是否有可疑交易;
  7. 收到可疑電郵或訊息後,可以向官方渠道查詢詳情,切勿向不明來源發送者提供敏感訊息;
  8. 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊; 及
  9. 使用用「CyberDefender 守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱。