檢疫及社交距離措施的放寬讓經濟活動及海外旅遊及公幹得以正常化。臨近聖誕、新年長假期,人們紛紛外出旅遊、購買禮物和準備節日佈置。節日優惠和便利,吸引了很多人在網上購物。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)最近發現了許多針對網上消費者並不斷改良的網絡釣魚攻擊,意圖讓更多人受騙。佳節已至,HKCERT 特別為網上消費者介紹針對網上購物的釣魚攻擊手法,並提醒大家進行網上消費時必須注意的地方,以免墮進網絡釣魚陷阱。
釣魚訊息
最近常見的網絡釣魚攻擊手法主要是通過即時通訊平台,將存有釣魚網站的惡意縮寫URL連結以訊息發送,此類釣魚訊息流行於智能手機系統內置以及第三方的通訊應用程式。 由於大多數通訊軟件都可以設定發件人的名稱,因此黑客可以偽裝成真實品牌的名稱。
與真實網站相似的釣魚網站
為了誘使受害者認為釣魚網站是官方網站並繼續輸入資料,黑客會註冊與該品牌網站相似的域名。 例如: 香港郵政的正確域名為“hongkongpost.hk”,但黑客寄存了釣魚網站在名為“hongkongpost[.]do”的域名中。
複製真實網頁介面的釣魚網頁
除了使用與真實網頁相似的域名和URL連結外,黑客最近還會複製真實網站的網頁介面,例如其登錄頁面。此方法會節省設計網絡釣魚頁面的時間,因此大多數黑客會從真實網站中複製網頁介面後再更改網頁後端設置使用。此舉會讓用戶更難分辨瀏覽的網頁真確性。
社交媒體平台中的網絡釣魚頁面
隨著公眾廣泛使用Facebook、Instagram 等社交平台,一些黑客也會在社交平台上創建虛假頁面。他們大多會在頁面中發布一些虛假的優惠活動,並附上指向釣魚網站的連結。
網上購物安全貼士
- 切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性,例如檢查清楚網址有否拼寫錯誤、文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密,應倍加小心,不要在沒有加密的情況下輸入敏感資訊;
- 定期轉換網購平台賬戶密碼,於不同的帳戶使用不同的密碼,以防止其中一個資料被外洩後牽連其他帳戶;
- 用戶應啟用多重認證以加強保安;
- 只經官方網站或手機應用程式購物或查看訂單情況;
- 收到可疑電郵或訊息後,可以向官方渠道查詢詳情,切勿向不明來源發送者提供敏感信息;
- 定期檢查自己的網上付款記錄,查看是否有可疑交易;
- 使用社交平台徽章認證功能(例如Facebook和Instagram中的藍色徽章)來驗證網店的社交平台頁面是否真實;
- 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊;和
- 使用「CyberDefender 守網者」提供的免費搜尋器「防騙視伏器」來辨識詐騙及網絡陷阱,此搜尋器支援檢查電郵地址、網址和IP地址等。
機構在節日假期前的保安貼士
- 根據中小企保安事故應變指南,籌備和計劃網絡保安事故應變;
- 檢查備份系統運作正常,以及預備一個離線備份。 請參閱 HKCERT 的「齊抗勒索軟件」專頁以對勒索軟件有更多了解;
- 利用「開放網絡威脅情報計劃」提升網絡安全防禦能力;
- 加強對惡意掃描攻擊(Malicious Scan Attack)的防護; 和
- 嘗試在IT環境中評估和部署「零信任」架構。
企業若想向HKCERT 報告與資訊保安相關的事故,例如惡意程式、網絡釣魚、阻斷服務攻擊等,可以透過網上表格:https://www.hkcert.org/zh/incident-reporting報告事故。如有其他疑問,歡迎電郵至 hkcert@hkcert.org 或致電24小時熱線8105 6060 與HKCERT聯絡。