最近很多市民都墮入釣魚網站陷阱,個人資料被盜取,網絡安全隱患成憂。香港電腦保安事故協調中心(HKCERT)發表最新一季《香港保安觀察報告》,報告顯示,涉及香港的單一網絡保安事件宗數共有16108宗,按季上升47%,其中釣魚網站更錄得13,574宗,按季激增90%,較去年同期上升逾11倍。
釣魚網站為虛假信用卡網站居多
釣魚網站事件連升三季,根據數據顯示,84%的釣魚網站為虛假信用卡網站;6%和5%與電訊和運輸行業相關。市民往往認識的釣魚網站是透過電郵中的超連結被引導至黑客塑造的虛假網站,繼而誘騙受害者輸入相關的登入名稱、密碼及其他個人資料等。但市民難以分清真假網站,容易被黑客盜取私隱資料作非法行為,因此中心特別介紹4類網上購物的釣魚攻擊手法,並帶出大家網上消費時必須注意的地方,以免陷入此類網絡釣魚陷阱。
釣魚網站訊息
最近常見的網絡釣魚攻擊手法主要是透過智能手機系統內置及第三方的即時通訊應用程式,將存有釣魚網站的惡意縮寫URL連結以訊息發送至收訊人。由於大多數通訊軟件都可以設定發件人的名稱,因此黑客可以偽裝成真實品牌的名稱。
(圖片來源:HKCERT)
與真實網站相似的釣魚網站
為誘使受害者認為釣魚網站是官方網站並繼續輸入資料,黑客會註冊與該品牌網站相似的域名。 例如: 香港郵政的正確域名為“hongkongpost.hk”,但黑客寄存了釣魚網站在 “hongkongpost[.]do”的域名中。
(圖片來源:HKCERT)
複製真實網頁介面的釣魚網頁
黑客會複製真實網站的網頁介面,例如其登錄頁面。此方法會節省設計網絡釣魚頁面的時間,因此大多數黑客會從真實網站中複製網頁介面後再更改網頁後端設置使用。此舉會讓用戶更難分辨瀏覽的網頁真確性。
(圖片來源:HKCERT)
社交媒體平台中的網絡釣魚頁面
社交網站現被廣泛使用,亦成為黑客目標之一,他們會在社交平台上創建虛假頁面,大多會在頁面中發布一些虛假的優惠活動,並附上釣魚網站的連結。
如下圖HKTVmall Facebook專頁,真的專頁會有Facebook認證的藍色徽章。
(圖片來源:HKCERT)
網上購物安全貼士
- 切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性,例如檢查清楚網址有否拼寫錯誤、文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密,應倍加小心,切勿在沒有加密的情況下輸入敏感資訊。
- 定期轉換網購平台賬戶密碼,於不同的帳戶使用不同的密碼,以防止其中一個資料被外洩後牽連其他帳戶。
- 用戶應啟用多重認證以加強保安。
- 只經官方網站或手機應用程式購物或查看訂單情況。
- 收到可疑電郵或訊息後,可以向官方渠道查詢詳情,切勿向來歷不明的電郵或訊息發送者提供敏感資料。
- 定期檢查自己的網上付款記錄,查看是否有可疑交易。
- 使用社交平台徽章認證功能(例如Facebook和Instagram中的藍色徽章)來驗證網店的社交平台頁面是否真實。
- 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊。
- 使用「CyberDefender 守網者」提供的免費搜尋器「防騙視伏器」來辨識詐騙及網絡陷阱,此搜尋器支援檢查電郵地址、網址和IP地址等。
參考來源:HKCERT