【網絡安全】仿製Facebook登入專頁偷資料 HKCERT提8招免墮陷阱
疫情加速了大眾在工作和生活上,對網上服務的日益依賴,而這趨勢亦為網絡犯罪分子製造更多竊取個人資料來謀取私利的機會。香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)近日就將身份/憑證盜用列為2023年五大資訊保安風險之一。
HKCERT最新發布的《香港保安觀察報告》季度報告顯示,本地釣魚網站事件在2022年第四季首次錄得過萬宗,達13,574宗,按季激升90%,較去年同期更上升逾11倍。此類攻擊的激增可歸因於開源網絡釣魚軟件包的氾濫,例如:可以避開多重要素驗證進行「連線劫持」的Evilginx2。由此可見,針對身份的攻擊十分猖獗,並預計在可見的將來會繼續是一個主要的網絡安全威脅。
該組織也提到,中間人攻擊(AiTM)相當普遍,網絡犯罪分子會利用電郵、SMS簡訊等方法,把與官方網站十分相似的釣魚網站連結發出,誘騙用戶登入。再以釣魚網站作為一個跳板,在受害人與官方網站中間代理登入請求,從而成功繞過 MFA多重要素驗證。成功驗證後,把受害人載入官方網站繼續使用服務,而網絡犯罪分子在後台已成功偷取賬號資料及Session Cookies,以用作不法行為。
可同時竊取 登入受害人及聯絡受害人朋友資料
舉例指,網絡犯罪分子利用開源工具仿製了一個假Facebook登入專頁用以偷取帳戶資料。他們會使用開源網絡釣魚軟件包來仿製及利用「誤植域名」讓假登入專頁更像真。受害人一旦在假Facebook登入專頁輸入帳戶資料及進行多重要素驗證,網絡犯罪分子便可在後台帳戶資料及Session Cookies,並利用所竊取的資料登入受害人帳戶及聯絡受害人朋友,進行詐騙。
為防止個人資料或帳號被盜用,HKCERT呼籲大眾使用網上服務時需多加小心,並提供以下保安建議:
- 切勿假設使用HTTPS 協定的網站是絕對真實可信的;
- 切勿假設搜索引擎搜尋結果顯示的全為合法網站;
- 應小心檢查網址串法,核實網站真偽;
- 收到可疑電子郵件或SMS簡訊時,切勿打開任何連結或附件;可利用「CyberDefender守網者」的「防騙視伏器」,通過檢查電郵地址、網址和IP地址等,來辨識詐騙及網絡陷阱;
- 向任何人或機構提供個人資料前要小心考慮清楚;
- 使用更高規格的認證技術,例如硬件FIDO (Fast IDentity Online) 免密碼登入認證;
- 避免在不同平台或服務使用相同的賬號和密碼;及
- 使用網上服務後謹記登出及關閉瀏覽器。
責任編輯:曾曉汶
《ET贏商有計》每集請來香港企業品牌,分享疫下營商Tips。即看最新一集:
