提防節日期間網絡釣魚攻擊

許多人受到優惠和便利的吸引，會選擇在網上進行節日購物。然而，HKCERT 最近便發現一些針對網上消費者的網絡釣魚攻擊。由於黑客會一直不斷改良這些攻擊，以圖讓更多人受騙，因此 HKCERT 今次特別介紹針對網上購物的釣魚攻擊手法，以及帶出網上消費時必須注意的地方，以免陷入此類網絡釣魚陷阱。

釣魚訊息

最近常見的網絡釣魚攻擊手法主要是通過即時通訊平台，將存有釣魚網站的惡意縮寫URL連結以訊息發送，此類釣魚訊息流行於智能手機系統內置以及第三方的通訊應用程式。 由於大多數通訊軟件都可以設定發件人的名稱，因此黑客可以偽裝成真實品牌的名稱。 以下是一些網絡釣魚攻擊發出的訊息示例。

與真實網站相似的釣魚網站

為了誘使受害者認為釣魚網站是官方網站並繼續輸入資料，黑客會註冊與該品牌網站相似的域名。 例如: 香港郵政的正確域名為“hongkongpost.hk”，但黑客寄存了釣魚網站在名為“hongkongpost[.]do”的域名中。

複製真實網頁介面的釣魚網頁

除了使用與真實網頁相似的域名和URL連結外，黑客最近還會複製真實網站的網頁介面，例如其登錄頁面。此方法會節省設計網絡釣魚頁面的時間，因此大多數黑客會從真實網站中複製網頁介面後再更改網頁後端設置使用。此舉會讓用戶更難分辨瀏覽的網頁真確性。

社交媒體平台中的網絡釣魚頁面

隨著公眾廣泛使用Facebook、Instagram 等社交平台，一些黑客也會在社交平台上創建虛假頁面。他們大多會在頁面中發布一些虛假的優惠活動，並附上指向釣魚網站的連結。

上圖是由黑客創建的 HKTVmall Facebook 專頁，其設計與HKTVmall 官方Facebook 社交專頁非常相似；下圖則是 HKTVmall 的真實Facebook 專頁頁面，並帶有Facebook 認證的藍色徽章。

網上購物安全貼士

1. 切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性，例如檢查清楚網址有否拼寫錯誤、文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密，應倍加小心，不要在沒有加密的情況下輸入敏感資訊；
2. 定期轉換網購平台賬戶密碼，於不同的帳戶使用不同的密碼，以防止其中一個資料被外洩後牽連其他帳戶；
3. 用戶應啟用多重認證以加強保安；
4. 只經官方網站或手機應用程式購物或查看訂單情況；
5. 收到可疑電郵或訊息後，可以向官方渠道查詢詳情，切勿向不明來源發送者提供敏感信息；
6. 定期檢查自己的網上付款記錄，查看是否有可疑交易；
7. 使用社交平台徽章認證功能（例如Facebook和Instagram中的藍色徽章）來驗證網店的社交平台頁面是否真實；
8. 在瀏覽器上設定反釣魚網站功能以助阻擋釣魚攻擊；和
9. 使用「CyberDefender 守網者」提供的免費搜尋器「防騙視伏器」來辨識詐騙及網絡陷阱，此搜尋器支援檢查電郵地址、網址和IP地址等。

機構在節日假期前的保安貼士

1. 根據中小企保安事故應變指南，籌備和計劃網絡保安事故應變；
2. 檢查備份系統運作正常，以及預備一個離線備份。 請參閱 HKCERT 的「齊抗勒索軟件」專頁以對勒索軟件有更多了解；
3. 利用「開放網絡威脅情報計劃」提升網絡安全防禦能力；
4. 加強對惡意掃描攻擊（Malicious Scan Attack）的防護； 和
5. 嘗試在IT環境中評估和部署「零信任」架構。