2013年1月14日 星期一

網上保安


嚴防被釣! 勿點擊來歷不明連接(上篇)

12/07/2012

報導:程為
不要成為釣魚網站的那條魚,想好好才按電郵網頁連接,以及不要隨便輸入資料! 互聯網服務越便利,風險越高,資料或密碼外泄,可能就讓你損失慘重。
駭客釣魚(Phising)侵襲網上銀行和企業,已是不爭的事實,用戶點擊網頁連結前,先檢查其真實性,才能避免荷包失血……
“請點擊這裡(網頁連接網址)更新您的網上銀行資料和密碼,以免影響您的戶頭操作!”
 現代人使用網上銀行服務已不是新鮮事,收到以上這種電郵通知,難免擔心無法使用該服務,于是即刻點擊連接。
 用戶跳轉至假造的網上銀行界面,輸入密碼和資料,結果讓躲在暗處的駭客有機可乘,偷龍轉鳳取走銀行存款。
 目前,駭客假冒大馬各銀行的電郵已多不勝數,各銀行也在網站發出聲明,提醒用戶小心此類電郵。
 可能你會說:“明明看到電郵發信人處是銀行的網站,怎么變成是假網站呢?”
喬裝銀行電郵戶口
 這是駭客狡猾的地方,他們技巧地喬裝銀行電郵戶口,制造一個相似度極高的銀行網頁,才能釣到更多魚!
 在電郵發信人一欄,並不難找到疑點,因為各種電郵服務網站,都列有完整的電郵來源,只要點擊發信人詳情,就能知道銀行電郵的真偽。
 電郵系統只顯現發信人的名字,如Andy,在名字后可方以點擊查看其完整電郵郵址,如andy@XXXX.com。
 如果電郵來自釣魚網站,假冒銀行意圖套取用戶資料,只要檢查其完整電郵位址,就能知道事有蹊蹺。
 假設某間名為ABC銀行的郵址是abcbank.com,假冒銀行的釣魚電郵郵址,可能會在abcbank前后加入不同的英文字,如frabcbank或abcbank_i,目的就是模糊焦點。
 因此,最好的方法就是不要點擊任何來自“銀行通知”或“更新通知”的連接,先把滑鼠指著網頁連接點(不要按),電郵底端左下角就會顯示真實的網址,藉此檢視網頁的真實性。
裝防木馬病毒軟件
 駭客另一種釣魚方式,就是直接讓用戶的電腦中毒,置入能夠遠端監視的木馬病毒(Trojan),獲取電腦用戶資料。
 因此,上網前啟動防毒軟件和防火牆(Firewall),甚至裝上防木馬病毒軟件,才能降低中毒危險。
 電腦用戶不小心進入某些釣魚網站,若有防毒準備,木馬病毒就不容易入侵。
 木馬病毒進入電腦后,駭客可藉機置入鍵盤控制程式,電腦用戶用鍵盤輸入的文字和號碼,都會以記事本(notepad)的文本格式(Text file),偷偷傳送給駭客。
 即是說,你的電郵、網上銀行戶口的用戶名和密碼,駭客都會隻字不漏的知道,這與連接假銀行網站,輸入密碼和資料無異。
 因此,當你登入任何網上戶口,尤其是網上銀行戶口,請使用虛擬鍵盤(On screen keyboard),或者是銀行網站提供的虛擬鍵盤。萬一電腦內藏有木馬病毒或鍵盤記錄軟件時,才有可能免于密碼被盜取的可能性。
 少點擊來歷不明的連接,以及多使用虛擬鍵盤登入網上戶口,這是避免“被釣魚”的重要原則!
★啟動虛擬鍵盤的方法:
 1)按著鍵盤上視窗標誌(一般在Ctrl和Alt中間),再按R;
 2)跳出輸入框后,輸入OSK,按回車鍵(Enter);
 3)出現虛擬鍵盤,以滑鼠點擊輸入。
別輕信手機短訊通知
 近年,駭客套取網上銀行用戶的手法,已從電郵擴大到手機短訊,他們以撒網捕魚的方式,隨意選取手機號碼發送,誘騙手機用戶登入假銀行網站。
 因此,收到任何來自銀行的手機短訊戶口更新通知,千萬不要匆忙登入手機內的網站,先清楚銀行的正確網址,才能免于受騙。
 如果不確定手機短訊內的銀行網址真實性,宜上網搜索,輸入銀行的完整名字,就能找到銀行的網址。
 不要急于更新網上戶口,確認通知來源的真偽最重要,真正的銀行不會因為你不即刻更新資料,而取消戶口服務!
借縮址置木馬病毒
 微博的私人通知信件也是駭客釣魚的管道;以推特(Twitter)為例,除了發送公開信息的頁面,還有一個“直接信息”(Direct message)部分,與電郵功能相近,推友可以私下閒聊。
 駭客向推友發送“直接信息”,指稱某網站有人在說著你的壞話,要你連接去看看,並且附上縮址(Shorten URL,可縮短網址)連接。
 當推友點擊連結,登入相關網站才發現並非如此,以為只是惡作劇時,可能就此遭置入木馬病毒或廣告插件,輕則是向其他推友發送相同“有毒”信息,重則遭盜竊推特戶口,甚至把木馬病毒引入電腦內,向駭客無限量發送各種資料。
 因此,如果懷疑微博上的縮址,就應該通過谷歌或其他搜索引擎,找到一些還原縮址(Unshorten URL)的網站,檢查縮址的真正網址,再將它放到搜索引擎,檢查其危險性,確定安全才登入。
 互聯網服務越來越便利,但也同時為駭客大開方便之門,因此多做檢查和確認工作,才能在網上安全漫遊。
回覆確認信要謹慎
 互聯網的交友或社交網站,如面子書(Facebook)、Linkedin、Foursquare等,都有不少用戶,駭客也藉由假冒這些網站的交友確認信,盜取用戶資料。
 許多人把電郵當成一個樞紐,收集各種網上服務的通知,因此,當收到一些網站服務,如面子書的電郵通知,迫不及待的點擊回覆。
 其實,回覆各種網站的通知信最好方法,就是登入原有網站,檢查和回覆這些信件。
 電郵通知只是提醒,如果不小心連接了釣魚網站,電腦遭置入木馬病毒,那就得不償失了。
駭客盯上網上奧運門票
 即將于7月27日舉行的倫敦奧運會,也是駭客四處“放毒”的良機;這次,駭客做賊喊捉賊,以列出假門票售賣商的文件檔,吸引電腦用戶開啟,再置入惡意程式!
 首先,駭客會在電郵中通知你,有人售賣假奧運門票,請欲購買者小心為上;如果要看詳細名單,就要點擊附件中的文件檔觀看。
 但是,這個Word的文件檔並非真正的文件檔,而是電腦病毒執行檔(.exe)偽裝而成。
 著名防毒軟體趨勢科技,于今年5月公佈這個消息。它們發現這個電郵內附有惡意程式,一旦開啟后,電腦用戶就會被置入后門程式,輕者只是電腦感染病毒,重則資料外泄。
 因此,關注奧運的人士必須小心這類電郵,以免成為受害者!



駭客持續肆虐 全球金融機構受威脅(下篇)


報導:程為
上網和現實生活一樣,需要注意安全,別讓罪犯有機可乘! 當生活和互聯網越來越脫不了關係,代表越需要重視網上安全,稍有不慎就會掉入駭客的釣魚陷阱!
提供網絡服務者也不能掉以輕心,需要加強網站保安功能,維護網上顧客的利益。
因此,注意網上安全是上網者和提供網絡服務者共同的責任……
生活的細節逐步與互聯網接軌,從筆電上網到平板電腦、手機連網,網上安全意識越加重要。
 網絡生活與現實世界一樣,沒有所謂的桃花源,匪徒會在你最放鬆的時候,給你一個驚嚇,讓你措手不及。
 網上服務提供者,不論銀行、網店、社交網者、雲端業者,皆與網上的平民一樣,有責任做好網上安全措施,避免任駭客魚肉。
 在網上,提供服務的商家握有客戶的資料,駭客看準這點,侵襲網站保安不足之處,竊取用戶資料,造成商家和用戶經濟損失。
650萬名會員密碼外洩
 今年六月,全球最大的商業社群網站LinkedIn的資料庫遭駭客入侵,全球約650萬名會員密碼瞬間落入駭客手裡,而且他們還將這些密碼公佈在俄羅斯一個論壇(BBS)上。
 消息傳開后,受影響的會員大驚失色,網上服務業敲響警鐘,不加強網站保安和密碼保護能力,駭客會毫不留情的給予沉重一擊。
 資料安全專家對于LinkedIn的這個事件表示擔心,認為該網站在處理會員密碼的保護能力有待加強,否則此類事件還會重演。
 幸運的是,這次的駭客行為或是一種警告,並沒造成經濟損失,如果遇上組織型駭客犯罪集團,網站和用戶的損失可能就不止是一場驚嚇。
 道高一尺,魔高一丈,互聯網越發達,駭客的入侵網站能力也會增加,他們絞盡腦汁提升技術,無非就是要奪取更多錢財。
 上個月26日,McAfee和Guardian Analytics兩家資料保安業者一份報告指出,一個國際駭客組織把矛頭瞄準全球金融機構,以非常先進的網絡攻擊手法,入侵多國銀行賬戶,目前已從60家銀行竊取至少7500萬美元(約2億2500億令吉)。
直接進伺服器盜存款
 這個駭客行動名為“Operation High Roller”,今年一月開始活動,從竊取德國一家銀行176個賬號開始,延伸至荷蘭,再攻陷南美洲,目前再繞回歐洲,並把觸角伸至美國銀行。
 對全世界的銀行業來說,這是一項極壞消息,因為這個駭客組織的技術,已突破原有先感染電腦方式,而是有能力直接進入金融業者的中央伺服器(Server),在巧妙技術掩護下,盜取用戶存款。
 即是說,以往駭客是先下手讓用戶電腦感染病毒,再藉此竊取銀行戶口,或者感染銀行網頁,迂迴曲折盜取存款,現在是直截了當入侵銀行業者伺服器。
 因此,金融業者和其他提供網上服務的商家,必須提升自身網站保安工作,避免成為下一個受害者,影響銀行存戶和網站會員利益。
偽裝安全軟體以假亂真
 駭客以網上銀行之名,偽裝成安全軟體,讓電腦用戶下載安裝,在不知情下貢獻所有個人資料!
 讓電腦用戶覺得很安全,這是駭客詐騙的另一種伎倆,只要贏得信任,在電腦內做什么都行。
 著名資安公司趨勢科技今年六月初,發現一個針對網上銀行而制的木馬程式,偽裝成谷歌Chrome瀏覽器安裝軟件,下載完成安裝后,就會從瀏覽器連接到假銀行網站。
 這是一個多重組件的銀行木馬,執行后會感染系統的IP位址(Internet Protocol Address,也稱網際協議地址,即是網上位址),作業系統也會因此遭殃。
 如果中毒的電腦要連上某些銀行網站,它會將其導向假銀行的網頁資訊。
 安全軟體未必安全,可能是釣魚網站的“美人計”,這種釣魚網站以假亂真,先取信電腦用戶,以為已安裝安全軟體,因此放心輸入密碼和資料,電腦用戶需要小心提防。
教育界網上保安意識欠佳
 中學和大專院校的學生和師長頻密使用互聯網,但卻缺乏網上保安意識?
 去年,香港一間軟件公司的調查顯示,大專生和教育界資訊專才對網上保安意識不足,以致超過90%的人允許他人隨意使用其個人電腦,而學府內的網上保安工作較弱,讓駭客有機可乘。
 該軟件公司訪問127名中學生、大專生和師長,有20%的人不知學校電腦是否裝了防火牆。
 受訪50%大學生中,所屬學校並未提醒他們在電腦上裝防毒軟件,這顯示教育界網上安全意識有待提升。
 當地大學曾發生大學教授的電郵遭駭客入侵案件,駭客以教授的電郵要求學生提供個人資料,造成學生資料外泄。
 學府的網上保安資源不及一般商業機構嚴謹,雖然可用認知能力不足為由,但因為學府人數眾多,駭客虎視耽耽學生和師長的個人資料,更加應該做好網上保安工作。
 香港學府的案例或可作為全球學府的縮影,在運用網上資源時,不能忽略保安工作,否則將成為駭客收獲最豐富的地方。
化身團購網大批魚兒上鉤
 近年,團購網因能為消費者爭取廉宜的產品,掀起不小的熱潮,在中國尤其受歡迎,因此引來駭客仿冒網站,專釣團購這條大魚!
 一台韓國三星手機市價2170人民幣(約1085令吉),團購網站能以1720人民弊(約860令吉)銷售,這對許多手機迷來說,已是令人心動的價格,因而引起近200人搶先預訂。
 但是,這個團購網站竟然是釣魚網站,它冒用另一間公司的名字騙錢。
 該釣魚網站推出超過20項商品,吸引不少人付款訂購,直到訂購者發現不對勁,已經太遲了。
 團購吸引許多人,而且先付錢后取貨,獲利甚豐,難怪引起駭客關注,複制某些知名團購網站頁面,讓不察者上鉤!
防木馬防火牆不能少
 企業網站安裝防火牆,能夠降低遭攻擊幾率,私人電腦也不能忽視防火牆的重要性。
 安裝防火牆等同多了一道強力防護,以及上網時多了一個閉路電視(CCTV),隨時知道有無不明軟體干擾!
 許多付費的防毒軟體,附有防火牆功能,免費的防火牆軟體,如Comodo(www.comodo.com)也不錯,而且能夠即時監視網上環境,同時阻內部軟體隨意向外連接。
 多數防火牆軟件不具清除木馬病毒功能,但如果電腦已被置入木馬病毒,試圖向外連接傳送資料,防火牆會即時征詢用戶同意與否。
 防火牆軟件對于試圖進入電腦的來歷不明連接相當敏感,因此上網時防火牆是不可少的裝備。
 但是,也因為常常會阻擋和詢問,一些電腦用戶覺得麻煩而選擇放棄安裝防火牆,無疑是為駭客大開方便之門。
 因此,個人網上保安,防毒和防火牆缺一不可,不要因為覺得麻煩而付出慘痛的代價。 

沒有留言:

張貼留言