保護社交媒體及即時通訊帳戶 提防身份盜竊

社交媒體及即時通訊軟件已成為日常社交及溝通必不可少的工具，相關軟件的帳戶安全因此變得更加重要，很多時用戶在首次申請帳戶後沒有更改或加強帳戶的保安設定，有機會成為身份盜竊的目標。假如用戶沒有做足帳戶保安，黑客將可以利用密碼攻擊輕鬆取得帳戶控制權，導致用戶的個人資料外洩，或者被盜用身份作其他社交工程攻擊。

 

要保護個人資料或社交帳戶免受黑客盜用，帳號管理非常重要。以往，用戶使用較強的密碼 (強密碼是指較長及難估中的密碼)已可防止黑客的密碼攻擊。可是，現時黑客的攻擊變得更為精密及複雜，單靠較強的密碼並不足以提防帳戶被攻擊。香港電腦保安事故協調中心 (HKCERT) 提供以下建議，讓用戶提升個人網絡服務帳號保安，減少帳戶被盜用的機會。

 

現時的網絡罪犯經常透過釣魚攻擊來套取用戶的登入資料。他們會以多種方式進行，例如：透過假冒電郵，引導用戶到虛假網頁填寫登入資料；另一方法是先隱藏網頁部份內容，然後要求想繼續閱讀的用戶輸入社交網絡帳號等資料，來騙取登入資料。

由於現時的釣魚攻擊層出不窮，因此用戶在每次需要輸入帳戶資料前，都必須提高警覺。除此之外，本中心還建議用戶可使用以下方法來提升帳戶保安。

 

 

雙重認證 (2-factor authentication) 或兩步認證 (2-step verification) 都是指用戶需要輸入兩組不同性質的密碼來確認身份。一般而言，一組密碼是預先設定的密碼，而另一組密碼則來自你手上的東西 (如：保安編碼器、流動電話)。例如，用戶在某服務平台進行登入時，平台會先要求用戶輸入帳號和密碼 (預先設定的密碼)，其後會要求輸入一個來自用戶流動電話(你手上的東西)的一次性密碼 (OTP) 來認證。一次性密碼通常有兩種傳送/ 產生方式：(1)透過短訊發送；(2) 產生自安裝在流動電話的保安編碼程式。

 

這種登入方法比單靠密碼更為安全，本中心建議用戶啟用雙重認證/兩步認證，以下是不同平台有關雙重認證/兩步認證的說明：

 

當黑客成功盜取到某一服務平台的登入資料及密碼，他們便會嘗試以相同密碼登入其他服務平台，這種手法叫密碼填充(Credential Stuffing)。例如：黑客成功盜取用戶的Facebook帳號密碼，他便會嘗試以相同密碼登入 Twitter、Gmail或網上銀行，因此建議用戶切勿在不同服務平台使用相同密碼。

 

輸入登入資料及密碼前，用戶必須確保正在瀏覽的網站或應用程式是正確而非偽冒的。若有懷疑，用戶便不應輸入任何帳戶資料，並進一步向所使用的服務平台核實。

 

為確保帳戶安全，切勿在公用電腦使用「記住密碼」的選項。此外，用戶亦可使用瀏覽器的「無痕模式 (incognito)」或「隱私瀏覽模式 (private)」進行瀏覽，使用後緊記登出及關閉所有瀏覽視窗，以確保沒有留下瀏覽記錄。

 

對於不再使用的帳號，用戶可能早已忘記管理，導致帳戶很容易遭到盜用。因此，建議用戶應定期檢視及刪除不使用的帳號。用戶亦可制作一個個人社交帳戶列表，以方便管理。

 

現時，有些網絡服務提供可疑登入活動的通知功能，若系統偵測到有可疑的登入活動，便會發送電郵及/或短訊通知用戶。用戶應注意由網絡服務發出的登入警報，因為警報可能意味著帳戶正被嘗試入侵。

 

另外，當黑客成功盜取用戶朋友圈中的帳戶，他們會盜用該身份並向其朋友圈中的其他帳戶進行攻擊。這類攻擊利用朋友間的信任，要求其他用戶輸入帳戶登入資料或編碼，甚至向其他用戶進行財務詐騙。若用戶收到可疑的要求，應先小心核實，建議透過語音電話或其他可靠方法進行核實。

 

除釣魚攻擊外，黑客亦會攻擊系統漏洞來入侵用戶的帳戶。用戶應及時替電腦及流動裝置安裝相關軟件的保安修補程式，當中包括應用程式、瀏覽器及作業系統等。