iPhone Apps 首次中招:專家分享避開網釣攻擊方法
日前至少 39 個 iOS 應用程式被確認受到由黑客植入惡意程式的開發程式 Xcode 感染,包括全球最受歡迎通訊程式之一的微信及叫車應用滴滴打車。受影響的程式會非法收集用戶資料,甚至要求用戶輸入 iCloud 密碼。這是蘋果公司旗下的 iCloud 首次遭到的大規模攻擊,更將影響多達 5 億 Apple 用戶。然而,釣魚式攻擊(網釣)已不是甚麼新鮮事。
今年年初,前保安局局長葉劉淑儀亦成為網釣的受害者之一,她打開了一個自稱由朋友寄來的電郵附件,令其銀行戶口被無故轉帳了 50 萬港元。上月,共 5 間香港銀行收到標榜與它們有關的詐騙電郵報告,即每星期有一至兩次!
網釣是一個惡意網絡行為,犯罪分子透過電子通訊去欺騙一些沒有戒心的人提供資料。例如,約會網站 Ashley Madison 最近因黑客入侵,導致 3600 萬名用戶資料外洩,有犯罪分子看準時機,以電郵敲詐網絡用戶,聲稱擁有其資料,並要求贖金。
除了鍵盤監聽 (key-logging)、表格攫取(form-grabbing) 及間諜軟件 (spyware) 這些常見的網釣手法外,愈來愈多設計得與真實官方網站十分相似的虛假網站出現。根據香港電腦保安事故協調中心的報告,本年度第 2 季的網絡詐騙案急劇上升了 168% 至 7,836 宗。香港政府早於年頭提醒市民加強採取相關的保安措施,但仍未能阻止罪案率急升,情況令人擔憂。
儘管社會上有愈來愈多網絡騙案的報導,大眾好像都不以為然,只顧在網絡上獲取資料,而忽視個人資料外洩的危機。
去年,Sony 影視娛樂已示範了忽視網釣的後果,其員工因開啟了詐騙電郵,令公司的電腦系統被黑客入侵。事件對 Sony 影視娛樂造成巨大的財務損失,使它花了 1500 萬美元去修補黑客入侵造成的系統損害。
消費者必須採取正確的預防措施,以防被詐騙,或造成財務或聲譽上的損失。公司企業則需要教導員工,應避免點擊進入電郵中的網絡連結,而應直接鍵入網址。網絡用戶遇到有網站要求個人資料或證明時,亦需要提高警覺。現時,犯罪分子手法愈來愈高明,即使有一次性密碼亦不足夠保障資料安全。
總而言之,主動採取保安措施對於個人或公司機構十分重要,此舉除了可保護網上應用程式的資料,更能保障機構的客戶或員工遭到網絡詐騙或長遠的財務損失。這類的預防性措施只需要使用一個多層保障的方法便可做到,如監測網絡的不尋常表現,以免其受到網絡欺詐,或設定網上購物或銀行轉帳時,需要雙重認證等。
作者為 F5 Networks 台灣暨香港區高級技術總監莊龍源
F5 Networks 台灣暨香港區高級技術總監莊龍源先生常駐香港,負責生意伙伴體系的科技研發及管理,以及推動區內業務增長。在加入 F5 之前,莊先生曾於 Regional System Integrator 分別擔任系統工程師和技術方案顧問,負責項目和產品研發,以及推動新技術和解決方案。 莊先生於資訊科技業累積逾 20 年經驗,在流量管理及網路 Layer 7 保安措施等領域擁有廣泛的知識,他亦是開發第一代伺服器負載平衡、網絡代理伺服器和網絡防火牆的先驅之一。 莊先生持有愛爾蘭國立大學資訊科技學士學位,以及白帽駭客認證(CEH)。