提防網購及長假期的網絡保安風險

聖誕及新年長假期將至，節日氣氛濃厚，相信又是一個購物的高峰期。雖然大部分人已經習慣網上購物，但我們必須時刻保持良好的網絡安全意識。HKCERT今次會簡單介紹一下黑客在網購方面的詐騙手法、網購人士需要注意的事項，以及機構在長假期期間可以執行的保安措施。

網購詐騙手法

黑客在網購方面詐騙手段不外乎利用釣魚網站及電郵來盜取受害人的個人或敏感資料，如信用卡資料及銀行賬戶密碼等。常見手法有3種:

1. 用「優惠」利誘
   臨近節日，用戶都習慣瀏覽網上商品促銷及優惠，以覓得心頭好。黑客會利用此等心理，假扮商戶設下「超低價」、「限時搶購」或贈送gift card等陷阱來吸引消費者。當消費者點擊優惠時，就會進入釣魚網站，再被要求填寫個人資料來換取優惠，黑客便可藉此竊取用戶個人信息甚至信用卡資料。
    
2. 假冒電郵/SMS
   黑客會假扮網購平台或速遞機構向受害人發送電郵/SMS，訛稱送貨失敗或要求確認訂單貨品等。這些電郵/SMS通常會要求受害人點擊訊息中的連結，藉此導向至釣魚網站。最近，外國就有黑客假冒速遞公司發送電郵，要求收件人填寫資料，竊取個人資料。這類電郵的附件或會是勒索軟件，一旦開啟便會「騎劫」系統。
    
3. 假冒某品牌網站
   黑客會魚目混珠，建立一個與目標品牌官網相似的網站，再登記一個與該品牌非常近似的網址， 甚至會花費投放廣告，令有關網站排在搜尋結果前列，以矇騙用戶。

六個網購時應注意的事項

1. 切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性，例如檢查清楚網址有否拼寫錯誤和文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密，應倍加小心，不要在沒有加密的情況下輸入敏感資訊；
2. 定期轉換網購平台賬戶密碼，若平台支援多重認證，用戶應啟用以加強保安；
3. 只經官方網站或手機應用程式下單購物或查看訂單情況；
4. 收到可疑電郵/SMS後，可以向官方渠道查詢詳情，切勿向不明來源發送者提供敏感信息；
5. 定期檢查自己的網上付款記錄，查看有否可疑交易；及
6. 對比網站或電郵/SMS所顯示的訂單訊息是否與所購買的物品相符。

機構應做的網絡保安措施

機構應為長假期加強網絡保安措施，包括：

1. 在節日假期前後，查看網絡日誌，檢查機構網絡有沒有可疑的活動，例如網絡流量異常；多次登入失敗事件；多次重複存取文件失敗事件；異常CPU使用率等；
2. 檢查備份系統運作正常，以及預備一個離線備份。如果機構不幸遇上勒索軟件，只能倚靠妥善備份的數據來回復。有關勒索軟件的資訊、預防措施及應對方法，請參閱HKCERT 齊抗勒索軟件專頁；
3. 對所使用的系統進行弱點分析及弱點掃描（特別是用於遙距存取的相關系統，如VPN等）。經常更新系統至最新版本以修補已知漏洞。有關最新系統漏洞資訊，請參閱HKCERT 保安公告；
4. 審視系統的賬戶，檢查賬戶有否過時及過高的權限；
5. 提醒同事切勿打開可疑電郵，同時留意假冒機構網站及郵件；及
6. 如員工需要遙距工作，確保使用機構VPN來連接機構網絡。盡量只使用辦公電腦來處理公事。

除此之外，HKCERT亦制作「評估你的網絡保安狀況」清單，協助機構評估網絡保安狀況是否足夠及獲取相關保安建議。