標籤與分類

社會 (113) 生活 (69) 程為 (68) 風潮 (67) 劉林李 (63) 潘有文 (62) 醒覺 (61) 健康 (54) 關懷 (54) 環境 (53) 教育 (44) 楊揚 (43) 楊潔思 (42) 涂素燕 (39) 許雅玲 (39) 食物 (35) 劉拓 (34) 疾病 (28) 經濟 (27) 醫藥 (24) 商業 (22) 家庭 (21) 搜奇 (21) 消費 (21) 文化 (20) 胡小平 (17) 育兒 (16) 興趣 (16) 娛樂 (12) 政治 (12) 女性 (11) 宗教 (11) 巫月圓 (11) 張家揚 (11) 歷史 (11) 法律 (11) 資訊工藝 (11) 馬來西亞 (10) 體育 (10) 交通 (8) 企業 (7) 旅遊 (7) 災難 (7) 科學 (7) 選舉 (7) 建築 (6) 歐芙伶 (6) 科技 (6) 何潤霞 (5) 玄學 (5) 投資 (4) 梵霖 (4) 楊芋 (3) 親子 (3) 婚姻 (2) 性教育 (2) 普住 (2) 節日 (2) 能源 (2) 身心靈 (2) 軍事 (2) 青少年 (2) 黃馨悟 (2) 中國 (1) 互聯網 (1) 亞蘿夏 (1) 動物 (1) 周家揚 (1) 器官捐獻 (1) 林艾萱 (1) 殷淑欣 (1) 水源 (1) 江子 (1) 王永明 (1) 石原 (1) 覃小萍 (1) 運動 (1) 陸易蓉 (1) 電器 (1) 黃利傑 (1)

2013年1月14日 星期一

網上保安


嚴防被釣! 勿點擊來歷不明連接(上篇)

12/07/2012

報導:程為
不要成為釣魚網站的那條魚,想好好才按電郵網頁連接,以及不要隨便輸入資料! 互聯網服務越便利,風險越高,資料或密碼外泄,可能就讓你損失慘重。
駭客釣魚(Phising)侵襲網上銀行和企業,已是不爭的事實,用戶點擊網頁連結前,先檢查其真實性,才能避免荷包失血……
“請點擊這裡(網頁連接網址)更新您的網上銀行資料和密碼,以免影響您的戶頭操作!”
 現代人使用網上銀行服務已不是新鮮事,收到以上這種電郵通知,難免擔心無法使用該服務,于是即刻點擊連接。
 用戶跳轉至假造的網上銀行界面,輸入密碼和資料,結果讓躲在暗處的駭客有機可乘,偷龍轉鳳取走銀行存款。
 目前,駭客假冒大馬各銀行的電郵已多不勝數,各銀行也在網站發出聲明,提醒用戶小心此類電郵。
 可能你會說:“明明看到電郵發信人處是銀行的網站,怎么變成是假網站呢?”
喬裝銀行電郵戶口
 這是駭客狡猾的地方,他們技巧地喬裝銀行電郵戶口,制造一個相似度極高的銀行網頁,才能釣到更多魚!
 在電郵發信人一欄,並不難找到疑點,因為各種電郵服務網站,都列有完整的電郵來源,只要點擊發信人詳情,就能知道銀行電郵的真偽。
 電郵系統只顯現發信人的名字,如Andy,在名字后可方以點擊查看其完整電郵郵址,如andy@XXXX.com。
 如果電郵來自釣魚網站,假冒銀行意圖套取用戶資料,只要檢查其完整電郵位址,就能知道事有蹊蹺。
 假設某間名為ABC銀行的郵址是abcbank.com,假冒銀行的釣魚電郵郵址,可能會在abcbank前后加入不同的英文字,如frabcbank或abcbank_i,目的就是模糊焦點。
 因此,最好的方法就是不要點擊任何來自“銀行通知”或“更新通知”的連接,先把滑鼠指著網頁連接點(不要按),電郵底端左下角就會顯示真實的網址,藉此檢視網頁的真實性。
裝防木馬病毒軟件
 駭客另一種釣魚方式,就是直接讓用戶的電腦中毒,置入能夠遠端監視的木馬病毒(Trojan),獲取電腦用戶資料。
 因此,上網前啟動防毒軟件和防火牆(Firewall),甚至裝上防木馬病毒軟件,才能降低中毒危險。
 電腦用戶不小心進入某些釣魚網站,若有防毒準備,木馬病毒就不容易入侵。
 木馬病毒進入電腦后,駭客可藉機置入鍵盤控制程式,電腦用戶用鍵盤輸入的文字和號碼,都會以記事本(notepad)的文本格式(Text file),偷偷傳送給駭客。
 即是說,你的電郵、網上銀行戶口的用戶名和密碼,駭客都會隻字不漏的知道,這與連接假銀行網站,輸入密碼和資料無異。
 因此,當你登入任何網上戶口,尤其是網上銀行戶口,請使用虛擬鍵盤(On screen keyboard),或者是銀行網站提供的虛擬鍵盤。萬一電腦內藏有木馬病毒或鍵盤記錄軟件時,才有可能免于密碼被盜取的可能性。
 少點擊來歷不明的連接,以及多使用虛擬鍵盤登入網上戶口,這是避免“被釣魚”的重要原則!
★啟動虛擬鍵盤的方法:
 1)按著鍵盤上視窗標誌(一般在Ctrl和Alt中間),再按R;
 2)跳出輸入框后,輸入OSK,按回車鍵(Enter);
 3)出現虛擬鍵盤,以滑鼠點擊輸入。
別輕信手機短訊通知
 近年,駭客套取網上銀行用戶的手法,已從電郵擴大到手機短訊,他們以撒網捕魚的方式,隨意選取手機號碼發送,誘騙手機用戶登入假銀行網站。
 因此,收到任何來自銀行的手機短訊戶口更新通知,千萬不要匆忙登入手機內的網站,先清楚銀行的正確網址,才能免于受騙。
 如果不確定手機短訊內的銀行網址真實性,宜上網搜索,輸入銀行的完整名字,就能找到銀行的網址。
 不要急于更新網上戶口,確認通知來源的真偽最重要,真正的銀行不會因為你不即刻更新資料,而取消戶口服務!
借縮址置木馬病毒
 微博的私人通知信件也是駭客釣魚的管道;以推特(Twitter)為例,除了發送公開信息的頁面,還有一個“直接信息”(Direct message)部分,與電郵功能相近,推友可以私下閒聊。
 駭客向推友發送“直接信息”,指稱某網站有人在說著你的壞話,要你連接去看看,並且附上縮址(Shorten URL,可縮短網址)連接。
 當推友點擊連結,登入相關網站才發現並非如此,以為只是惡作劇時,可能就此遭置入木馬病毒或廣告插件,輕則是向其他推友發送相同“有毒”信息,重則遭盜竊推特戶口,甚至把木馬病毒引入電腦內,向駭客無限量發送各種資料。
 因此,如果懷疑微博上的縮址,就應該通過谷歌或其他搜索引擎,找到一些還原縮址(Unshorten URL)的網站,檢查縮址的真正網址,再將它放到搜索引擎,檢查其危險性,確定安全才登入。
 互聯網服務越來越便利,但也同時為駭客大開方便之門,因此多做檢查和確認工作,才能在網上安全漫遊。
回覆確認信要謹慎
 互聯網的交友或社交網站,如面子書(Facebook)、Linkedin、Foursquare等,都有不少用戶,駭客也藉由假冒這些網站的交友確認信,盜取用戶資料。
 許多人把電郵當成一個樞紐,收集各種網上服務的通知,因此,當收到一些網站服務,如面子書的電郵通知,迫不及待的點擊回覆。
 其實,回覆各種網站的通知信最好方法,就是登入原有網站,檢查和回覆這些信件。
 電郵通知只是提醒,如果不小心連接了釣魚網站,電腦遭置入木馬病毒,那就得不償失了。
駭客盯上網上奧運門票
 即將于7月27日舉行的倫敦奧運會,也是駭客四處“放毒”的良機;這次,駭客做賊喊捉賊,以列出假門票售賣商的文件檔,吸引電腦用戶開啟,再置入惡意程式!
 首先,駭客會在電郵中通知你,有人售賣假奧運門票,請欲購買者小心為上;如果要看詳細名單,就要點擊附件中的文件檔觀看。
 但是,這個Word的文件檔並非真正的文件檔,而是電腦病毒執行檔(.exe)偽裝而成。
 著名防毒軟體趨勢科技,于今年5月公佈這個消息。它們發現這個電郵內附有惡意程式,一旦開啟后,電腦用戶就會被置入后門程式,輕者只是電腦感染病毒,重則資料外泄。
 因此,關注奧運的人士必須小心這類電郵,以免成為受害者!



駭客持續肆虐 全球金融機構受威脅(下篇)


報導:程為
上網和現實生活一樣,需要注意安全,別讓罪犯有機可乘! 當生活和互聯網越來越脫不了關係,代表越需要重視網上安全,稍有不慎就會掉入駭客的釣魚陷阱!
提供網絡服務者也不能掉以輕心,需要加強網站保安功能,維護網上顧客的利益。
因此,注意網上安全是上網者和提供網絡服務者共同的責任……
生活的細節逐步與互聯網接軌,從筆電上網到平板電腦、手機連網,網上安全意識越加重要。
 網絡生活與現實世界一樣,沒有所謂的桃花源,匪徒會在你最放鬆的時候,給你一個驚嚇,讓你措手不及。
 網上服務提供者,不論銀行、網店、社交網者、雲端業者,皆與網上的平民一樣,有責任做好網上安全措施,避免任駭客魚肉。
 在網上,提供服務的商家握有客戶的資料,駭客看準這點,侵襲網站保安不足之處,竊取用戶資料,造成商家和用戶經濟損失。
650萬名會員密碼外洩
 今年六月,全球最大的商業社群網站LinkedIn的資料庫遭駭客入侵,全球約650萬名會員密碼瞬間落入駭客手裡,而且他們還將這些密碼公佈在俄羅斯一個論壇(BBS)上。
 消息傳開后,受影響的會員大驚失色,網上服務業敲響警鐘,不加強網站保安和密碼保護能力,駭客會毫不留情的給予沉重一擊。
 資料安全專家對于LinkedIn的這個事件表示擔心,認為該網站在處理會員密碼的保護能力有待加強,否則此類事件還會重演。
 幸運的是,這次的駭客行為或是一種警告,並沒造成經濟損失,如果遇上組織型駭客犯罪集團,網站和用戶的損失可能就不止是一場驚嚇。
 道高一尺,魔高一丈,互聯網越發達,駭客的入侵網站能力也會增加,他們絞盡腦汁提升技術,無非就是要奪取更多錢財。
 上個月26日,McAfee和Guardian Analytics兩家資料保安業者一份報告指出,一個國際駭客組織把矛頭瞄準全球金融機構,以非常先進的網絡攻擊手法,入侵多國銀行賬戶,目前已從60家銀行竊取至少7500萬美元(約2億2500億令吉)。
直接進伺服器盜存款
 這個駭客行動名為“Operation High Roller”,今年一月開始活動,從竊取德國一家銀行176個賬號開始,延伸至荷蘭,再攻陷南美洲,目前再繞回歐洲,並把觸角伸至美國銀行。
 對全世界的銀行業來說,這是一項極壞消息,因為這個駭客組織的技術,已突破原有先感染電腦方式,而是有能力直接進入金融業者的中央伺服器(Server),在巧妙技術掩護下,盜取用戶存款。
 即是說,以往駭客是先下手讓用戶電腦感染病毒,再藉此竊取銀行戶口,或者感染銀行網頁,迂迴曲折盜取存款,現在是直截了當入侵銀行業者伺服器。
 因此,金融業者和其他提供網上服務的商家,必須提升自身網站保安工作,避免成為下一個受害者,影響銀行存戶和網站會員利益。
偽裝安全軟體以假亂真
 駭客以網上銀行之名,偽裝成安全軟體,讓電腦用戶下載安裝,在不知情下貢獻所有個人資料!
 讓電腦用戶覺得很安全,這是駭客詐騙的另一種伎倆,只要贏得信任,在電腦內做什么都行。
 著名資安公司趨勢科技今年六月初,發現一個針對網上銀行而制的木馬程式,偽裝成谷歌Chrome瀏覽器安裝軟件,下載完成安裝后,就會從瀏覽器連接到假銀行網站。
 這是一個多重組件的銀行木馬,執行后會感染系統的IP位址(Internet Protocol Address,也稱網際協議地址,即是網上位址),作業系統也會因此遭殃。
 如果中毒的電腦要連上某些銀行網站,它會將其導向假銀行的網頁資訊。
 安全軟體未必安全,可能是釣魚網站的“美人計”,這種釣魚網站以假亂真,先取信電腦用戶,以為已安裝安全軟體,因此放心輸入密碼和資料,電腦用戶需要小心提防。
教育界網上保安意識欠佳
 中學和大專院校的學生和師長頻密使用互聯網,但卻缺乏網上保安意識?
 去年,香港一間軟件公司的調查顯示,大專生和教育界資訊專才對網上保安意識不足,以致超過90%的人允許他人隨意使用其個人電腦,而學府內的網上保安工作較弱,讓駭客有機可乘。
 該軟件公司訪問127名中學生、大專生和師長,有20%的人不知學校電腦是否裝了防火牆。
 受訪50%大學生中,所屬學校並未提醒他們在電腦上裝防毒軟件,這顯示教育界網上安全意識有待提升。
 當地大學曾發生大學教授的電郵遭駭客入侵案件,駭客以教授的電郵要求學生提供個人資料,造成學生資料外泄。
 學府的網上保安資源不及一般商業機構嚴謹,雖然可用認知能力不足為由,但因為學府人數眾多,駭客虎視耽耽學生和師長的個人資料,更加應該做好網上保安工作。
 香港學府的案例或可作為全球學府的縮影,在運用網上資源時,不能忽略保安工作,否則將成為駭客收獲最豐富的地方。
化身團購網大批魚兒上鉤
 近年,團購網因能為消費者爭取廉宜的產品,掀起不小的熱潮,在中國尤其受歡迎,因此引來駭客仿冒網站,專釣團購這條大魚!
 一台韓國三星手機市價2170人民幣(約1085令吉),團購網站能以1720人民弊(約860令吉)銷售,這對許多手機迷來說,已是令人心動的價格,因而引起近200人搶先預訂。
 但是,這個團購網站竟然是釣魚網站,它冒用另一間公司的名字騙錢。
 該釣魚網站推出超過20項商品,吸引不少人付款訂購,直到訂購者發現不對勁,已經太遲了。
 團購吸引許多人,而且先付錢后取貨,獲利甚豐,難怪引起駭客關注,複制某些知名團購網站頁面,讓不察者上鉤!
防木馬防火牆不能少
 企業網站安裝防火牆,能夠降低遭攻擊幾率,私人電腦也不能忽視防火牆的重要性。
 安裝防火牆等同多了一道強力防護,以及上網時多了一個閉路電視(CCTV),隨時知道有無不明軟體干擾!
 許多付費的防毒軟體,附有防火牆功能,免費的防火牆軟體,如Comodo(www.comodo.com)也不錯,而且能夠即時監視網上環境,同時阻內部軟體隨意向外連接。
 多數防火牆軟件不具清除木馬病毒功能,但如果電腦已被置入木馬病毒,試圖向外連接傳送資料,防火牆會即時征詢用戶同意與否。
 防火牆軟件對于試圖進入電腦的來歷不明連接相當敏感,因此上網時防火牆是不可少的裝備。
 但是,也因為常常會阻擋和詢問,一些電腦用戶覺得麻煩而選擇放棄安裝防火牆,無疑是為駭客大開方便之門。
 因此,個人網上保安,防毒和防火牆缺一不可,不要因為覺得麻煩而付出慘痛的代價。 

搜尋更多文章

Related Posts with Thumbnails