網絡安全】最新的報告指,今年的網絡語音釣魚攻擊比上年同期增加了5倍以上,今年香港首五個月便接獲逾1,200宗網絡釣魚事故報告,騙徒會利用假AI客服盜取地址、信用卡密碼,即睇3招確保網絡安全。

世界密碼日2022|全球逾半用戶每周忘記密碼|Cisco:多重認證防密碼被盜|5大抵禦攻擊方法

網絡安全調查:網絡約魚攻擊年增5倍

釣魚攻擊持續猖獗,香港生產力促進局轄下香港電腦保安事故協調中心(HKCERT)今年首五個月便接獲逾一千二百宗網絡釣魚事故報告,中心較早前亦指出未來的釣魚攻擊手法將會更加層出不窮,除常見的電郵或短訊(SMS)外,還會結合語音、Deepfake及二維碼等近年新技術,讓整個釣魚騙局更加逼真。

根據美國電郵保安公司Agari及 PhishLabs最近發表的報告,今年第一季的語音釣魚攻擊比上年同期增加了5倍以上,大家需要加倍小心。

騙徒用假AI客服盜取地址、信用卡密碼

另外,一間美國網絡保安公司Trustwave最近就分享了一個利用假人工智能(AI)客戶服務的攻擊個案,當中並結合假的人機驗證(Captcha,亦即全自動公開化圖靈測驗人機辨識)保安機制,一次過騙取受害人的電郵、地址、信用卡資料和SMS一次性密碼,攻擊手法如下:

勒索軟件事故研究|受害人總損失為所付贖金的7倍|CPR:4招防禦建議:資料備份、身份驗證...

網絡安全|騙徒手法

  1. 受害人先收到疑似來自某知名速遞公司的釣魚電郵和假網站連結
  2. 進入網站後會有人工智能客戶服務代表表示受害人包裹的標籤已經損毀,並詢問需要將包裹送去哪個地址
  3. 為增強可信性,在受害人輸入電郵和地址前更會彈出Captcha假扮保安嚴緊
  4. 最後彈出另一個假信用咭網站來騙取資料和SMS一次性密碼

切勿隨便輸入任何資料

以上手法結合多種的攻擊技巧和常見工具,務求誘騙受害人輸入敏感資料。所以當收到一些不明網站連結的時候,要謹記核對英文串法,如果有懷疑,切勿輸入任何資料,以及要向有關機構核實。

以下將會針對「QR code」、「電郵」、「釣魚網站」三方面講述一些保安秘笈:

網絡安全|1. QR code風險

QR code,又稱作二維碼,已成為大家日常生活的一部分。譬如,消費方面,四間能用上香港特區政府消費券的電子支付平台中,就有三間支援QR code支付。但使用QR code有著一定風險,例如內地就曾有商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失。

以下是使用QR code的保安小貼士:

切勿隨便向他人透露QR code

在以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄,切勿隨便向他人透露流動支付服務所產生的QR code。

在網頁瀏覽時掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code,同時在賬戶驗證方面,應該只掃瞄官方網站內的賬戶驗證QR code,如發現不尋常的登入記錄,應立即向服務供應商查詢。

網絡安全|2. 釣魚詐騙電郵

除了QR code風險外,亦要留意釣魚詐騙電郵,HKCERT留意到多所本地院校的學生收到標題為「Are you available?」的釣魚詐騙電郵,騙徒會偽裝成大學教授或相關的行政人員,提出需要緊急協助,以誘使收件者回覆。一旦展開對話後,騙徒會以各種理由詐騙金錢,例如請求對方幫忙購買禮品卡等。

由於不含惡意附件或連結,詐騙電郵難以被電郵閘道檢測過濾。不過,只要收件者細心留意發件者的電郵地址就會發現有可疑。

處理釣魚電郵的保安指引

如收到此類釣魚電郵,可以根據下列指引處理:

  1. 經常檢查發件者的電郵地址是否與發件者相同
  2. 刪除該郵件
  3. 提防任何有關轉帳或金錢援助的要求
  4. 立刻通報給相關的IT部門

網絡安全|3. 快閃釣魚攻擊

最後要留神的是快閃釣魚攻擊,快閃釣魚攻擊是利用偽冒域名進行的詐騙行動。黑客會持續用目標機構的名稱注冊不同的域名並建立釣魚網站,然後透過不同的渠道 (例如:電郵、短訊及即時訊息) 向受害人發送釣魚訊息及連結,以騙取受害人資料作財務欺詐。

常見的偽冒域名有三類,以下用HKCERT域名 www.hkcert.org 作例子作示範:

3類偽冒域名

  1. 於真實域名後附加隨機字符
    1. 例子: www.hkcertaa.org, www.hkcertab.org 或 www.hkcert00.org, www.hkcert01.org
  2. 以類似字符取代真實域名中的原有字符,或重複原有字符
    1. 例子: www.hkcevt.org 或 www.hkcertt.org
  3. 使用其他頂級域名
    1. 例子: www.hkcert.cc, www.hkcert.site, www.hkcert.info

按此免費訂閱《香港財經時報》HKBT 新聞快訊

網絡安全|釣魚攻擊保安應對方法

為避免成為受害者,不慎洩露個人資料,甚至招致財務損失,可以採取以下保安建議應對釣魚攻擊:

  • 留意網址的英文串法,小心檢查有否錯誤或可疑之處;
  • 切勿假設使用HTTPS 協定的網站一定是真實可信網站,釣魚網站亦可使用 HTTPS 協定;
  • 小心核實接收到的任何訊息,尤其是使用流動裝置的用戶;
  • 不要隨意打開任何連結或附件,並於提供個人資料前三思,先核實該網站真偽。