跳至主內容

保護社交媒體及即時通訊帳戶 提防身份盜竊

發佈日期: 2020年10月28日 951 觀看次數
社交媒體及即時通訊軟件已成為日常社交及溝通必不可少的工具,相關軟件的帳戶安全因此變得更加重要,很多時用戶在首次申請帳戶後沒有更改或加強帳戶的保安設定,有機會成為身份盜竊的目標。假如用戶沒有做足帳戶保安,黑客將可以利用密碼攻擊輕鬆取得帳戶控制權,導致用戶的個人資料外洩,或者被盜用身份作其他社交工程攻擊。
 
要保護個人資料或社交帳戶免受黑客盜用,帳號管理非常重要。以往,用戶使用較強的密碼 (強密碼是指較長及難估中的密碼)已可防止黑客的密碼攻擊。可是,現時黑客的攻擊變得更為精密及複雜,單靠較強的密碼並不足以提防帳戶被攻擊。香港電腦保安事故協調中心 (HKCERT) 提供以下建議,讓用戶提升個人網絡服務帳號保安,減少帳戶被盜用的機會。
 

個人帳號的威脅 - 釣魚攻擊

 

現時的網絡罪犯經常透過釣魚攻擊來套取用戶的登入資料。他們會以多種方式進行,例如:透過假冒電郵,引導用戶到虛假網頁填寫登入資料;另一方法是先隱藏網頁部份內容,然後要求想繼續閱讀的用戶輸入社交網絡帳號等資料,來騙取登入資料。
由於現時的釣魚攻擊層出不窮,因此用戶在每次需要輸入帳戶資料前,都必須提高警覺。除此之外,本中心還建議用戶可使用以下方法來提升帳戶保安。
 

管理個人帳戶的保安建議

 

1) 使用雙重認證/兩步認證

 

雙重認證 (2-factor authentication) 或兩步認證 (2-step verification) 都是指用戶需要輸入兩組不同性質的密碼來確認身份。一般而言,一組密碼是預先設定的密碼,而另一組密碼則來自你手上的東西 (如:保安編碼器、流動電話)。例如,用戶在某服務平台進行登入時,平台會先要求用戶輸入帳號和密碼 (預先設定的密碼),其後會要求輸入一個來自用戶流動電話(你手上的東西)的一次性密碼 (OTP) 來認證。一次性密碼通常有兩種傳送/ 產生方式:(1)透過短訊發送;(2) 產生自安裝在流動電話的保安編碼程式。
 
這種登入方法比單靠密碼更為安全,本中心建議用戶啟用雙重認證/兩步認證,以下是不同平台有關雙重認證/兩步認證的說明:
 

2) 切勿在不同服務使用相同密碼

 

當黑客成功盜取到某一服務平台的登入資料及密碼,他們便會嘗試以相同密碼登入其他服務平台,這種手法叫密碼填充(Credential Stuffing)。例如:黑客成功盜取用戶的Facebook帳號密碼,他便會嘗試以相同密碼登入 Twitter、Gmail或網上銀行,因此建議用戶切勿在不同服務平台使用相同密碼。
 

3) 輸入密碼前要三思

 

輸入登入資料及密碼前,用戶必須確保正在瀏覽的網站或應用程式是正確而非偽冒的。若有懷疑,用戶便不應輸入任何帳戶資料,並進一步向所使用的服務平台核實。
 

4) 使用後緊記登出帳戶

 

為確保帳戶安全,切勿在公用電腦使用「記住密碼」的選項。此外,用戶亦可使用瀏覽器的「無痕模式 (incognito)」或「隱私瀏覽模式 (private)」進行瀏覽,使用後緊記登出及關閉所有瀏覽視窗,以確保沒有留下瀏覽記錄。
 

5) 刪除不再使用的帳戶

 

對於不再使用的帳號,用戶可能早已忘記管理,導致帳戶很容易遭到盜用。因此,建議用戶應定期檢視及刪除不使用的帳號。用戶亦可制作一個個人社交帳戶列表,以方便管理。
 

6) 留意可疑的登入活動

 

現時,有些網絡服務提供可疑登入活動的通知功能,若系統偵測到有可疑的登入活動,便會發送電郵及/或短訊通知用戶。用戶應注意由網絡服務發出的登入警報,因為警報可能意味著帳戶正被嘗試入侵。
 
另外,當黑客成功盜取用戶朋友圈中的帳戶,他們會盜用該身份並向其朋友圈中的其他帳戶進行攻擊。這類攻擊利用朋友間的信任,要求其他用戶輸入帳戶登入資料或編碼,甚至向其他用戶進行財務詐騙。若用戶收到可疑的要求,應先小心核實,建議透過語音電話或其他可靠方法進行核實。
 

7) 及時安裝保安修補程式

 

除釣魚攻擊外,黑客亦會攻擊系統漏洞來入侵用戶的帳戶。用戶應及時替電腦及流動裝置安裝相關軟件的保安修補程式,當中包括應用程式、瀏覽器及作業系統等。
 
 
 

參考連結: