在節慶期間採取網絡保安最佳實踐

年關將至,大多數人開始計劃長假,與家人和朋友共度時光、購置新貨品或出外旅遊。網上服務越來越普及。然而,我們在節日期間享受這些服務提供的便利時,對網絡保安風險保持警惕也很重要。

 
發佈日期: 2024年12月17日 1704 觀看次數

釣魚攻擊

大家不僅在網上購買節日禮物,還會預訂旅行行程,從互聯網上領取機票和酒店的優惠折扣。然而,網上活動的增加為黑客攻擊創造了機會。從黑客的角度來看,釣魚網站攻擊特別有吸引力,因為與其他類型的攻擊相比,釣魚網站所花費的成本和精力較少。用戶很容易受到釣魚網站的欺騙,黑客可以創建與官方認證賬號非常相似的線上群組,令用戶很難區分它們。 最近香港發生多次釣魚網站攻擊,黑客創建假冒群組,冒充 HKTVmall 等本地會員平台進行詐騙,通常會引誘用戶訪問偽造的 WhatsApp 連結,並提示他們輸入敏感信息。一旦用戶在這些虛假頁面上提供個人資料,黑客就可以從他們的帳戶中竊取敏感信息。

 

Hackers impersonate HKTVmall customer service to establish fake WhatsApp groups.

黑客冒充HKTVmall客服建立虛假的WhatsApp群組

 

黑客利用虛假 WhatsApp 群組欺騙用戶點擊惡意連結 

 

HKCERT亦刊登了「網絡釣魚 全城防禦」專頁,向大家介紹更多有關釣魚攻擊以及如何防範此類攻擊的資訊。 公眾可以從這個專頁了解有關釣魚攻擊的訊息,包括攻擊技巧、預防、識別和處理可疑訊息的方式。

 

 

技術支援詐騙

大家可能會遇到令人震驚的保安警告的網站,表明用戶的設備面臨惡意軟件感染的風險。受害者經常被這些警報所欺騙,因為它們的界面看起來非常逼真且緊急,使得用戶很難與真實的保安通知區分。

 

當大家撥打虛假的技術支援號碼時,黑客將誘騙他們安裝遠端存取軟件。這使得黑客能夠存取受害者的設備並竊取個人敏感資料。 HKCERT 最近發現技術支援詐騙案例有所增加,其中黑客創建虛假警報並仿冒技術支援服務,他們操縱用戶裝置,進行遠端存取,從而竊取用戶敏感信息。

 

以下是最近發現的一個冒充微軟保安警報的技術支援詐騙網頁的範例:

 

黑客在虛假的 Microsoft 技術支援詐騙連結上冒充合法的保安警報來欺騙使用者

 

保安最佳實踐

如要在數碼時代裡體驗安全的旅行和在購物時無憂無慮,大家應考慮採取以下保安最佳實踐。

 

有關出外旅行時的保安最佳實踐:

 

  1. 使用私人裝置去登入個人帳戶,避免使用公眾共享的裝置;
  2. 連結到可信的Wi-Fi熱點,避免連接到保安設定較低的Wi-Fi熱點;
  3. 檢查你的網上帳戶會否有任何可疑登入;
  4. 在使用流動支付方式購物時加謹小心,在確認和進行付款前先核對收款人和金額;
  5. 如需要瀏覽網頁或掃描QR Code,在輸入任何資訊前先驗證URL連結的真確性;
  6. 不要點擊或打開使海外SIM卡接收的連結或附件,它們可能與釣魚攻擊相關;
  7. 如有需要,只從官方網頁和應用程式平台中安裝應用程式;
  8. 不要使用不明來歷的公衆充電插頭,以防受到「Juice Jacking」攻擊;
  9. 不要將您的裝置放在無人看管的地方; 及
  10. 將在家中和辦公室內不需使用的裝置關閉,在旅行時當你在晚間不再使用隨身裝置時亦將它關閉。

 

有關網上購物時的保安最佳實踐:

 

  1. 切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性,例如檢查清楚網址有否拼寫錯誤、文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密,應倍加小心,不要在沒有加密的情況下輸入敏感資訊;
  2. 為防止詐騙,留意WhatsApp訊息中的錯別字或文法錯誤,避免下載應用程式,不分享個人資料,不轉寄訊息,不回應金錢要求或付費指示;
  3. 警惕假冒熟人以及群組訊息,加入群組後,查看群組資訊,檢查群組建立者、日期和說明,對涉及彩票、賭博、工作機會、投資或貸款的訊息保持警覺。收到非聯絡人WhatsApp訊息時,根據提示決定回應、封鎖或舉報;[按此了解更多]
  4. 定期轉換網購平台賬戶密碼,於不同的帳戶使用不同的密碼,以防止其中一個資料被外洩後牽連其他帳戶;
  5. 如果購物平台支援多重認證,用戶應將其啟用以加強保安;
  6. 只經官方網站或手機應用程式購物或查看訂單情況;
  7. 不要在平台的網上帳戶裡上儲存任何敏感資料,例如信用卡資訊等;
  8. 定期檢查自己的網上付款記錄,查看是否有可疑交易;
  9. 收到可疑電郵或訊息後,可以向官方渠道查詢詳情,切勿向不明來源發送者提供敏感訊息;
  10. 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊; 及
  11. 使用「CyberDefender 守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱。

 

有關技術支援詐騙的保安最佳實踐:

 

  1. 應對意外彈出的保安警告或警報持懷疑的態度。合法的科技公司通常不會主動發送警告或透過彈窗索取用戶信息;
  2. 務必透過官方網站或文件核實技術支援的聯絡信息。避免撥打彈出視窗或未經請求的訊息中提供的號碼;
  3. 除非已驗證支援對象的合法性,否則切勿允許遠端存取自己的電腦裝置。未經事先確認,真正的技術支援不會要求遠端存取;
  4. 直接通過公司官方網站或官方文件上列出的客服電話聯絡技術支援;
  5. 定期更新作業系統和軟件,以防止黑客可能利用的漏洞;
  6. 使用防火牆和防毒軟件等安全功能來協助偵測和阻止惡意活動;
  7. 隨時了解最新的技術支援詐騙手法,並教育家人和朋友,防止他們成為受害者;及
  8. 如果您遇到可疑的技術支援詐騙,請向 HKCERT 或有關服務供應商尋求協助。

相關標籤

網絡釣魚

分享至

上一頁

影響全球近1900萬IP地址的大型殭屍網絡「911 S5」被搗破

2024年10月28日 1901 觀看次數

更多文章

你知道什麼是身份/憑證盜用嗎?

保安博錄

身份盜竊網絡釣魚社交工程攻擊2023年五大資訊保安風險

瀏覽器的反釣魚網站功能如何幫助阻擋釣魚攻擊

保安博錄

網絡釣魚保安意識

提防手機公共充電站的「Juice Jacking」陷阱

保安博錄

我們使用cookie為您提供最佳的網站體驗。繼續瀏覽本網站,即表示您同意使用cookie。有關更多詳細信息,請閱讀我們的Cookie政策。

隱私政策