立場新聞 Stand News

別相信任何人:選民資料外洩有咩要驚?

2017/4/11 — 18:10

選舉事務處在今屆特首選舉期間遺失兩部電腦,內藏全港378萬地方選區選民的姓名、地址及身份證號碼,當局暫時未有解決方法,只強調資料已被多重加密,罪犯很難破解。金管局又大派定心丸,指單憑該等資料不能使用網上銀行服務,電話銀行亦需要用戶回答額外的保安問題,理論上還是安全的。不過實際真的如此嗎?罪犯真的會天真地憑着上述三項資料,直接致電銀行辦轉賬?

社交工程(Social Engineering)套取密碼

罪犯的犯罪手法當然不會這樣直接,假設對方成功解密,與其打草驚蛇直接聯絡銀行,倒不如放長線釣大魚。他可以運用這些資料向銀行以外的服務供應商埋手,找出目標的電郵、電話、社交媒體賬號等資料;又可以域名查冊服務Whois逆向搜尋,以登記者姓名查找名下的網站及相關公司名,為下一步的攻擊行動做準備。然後他可以裝作你的服務供應商或網購網站,向你發出針對性的釣魚電郵,附上釣魚網站的連結,吸引你點擊並輸入真實的用戶憑證 ……這種手法統稱為「社交工程」,不需要太精密的科技,罪犯一樣可以利用人的心理攻其不備。

廣告

電話的另一頭,可以是任何人!

電話的另一頭,可以是任何人!

廣告

著名資訊安全公司Kaspersky Lab上月剛發布2016年金融機構保安風險報告,顯示有75%電腦罪犯都是透過社交工程手法行騙,只有不足五分一是選用精密設計的惡意程式。平日看電影,電腦罪犯總是掛着一副高深莫測的表情,坐在黑房中敲着鍵盤,但現實中,相比鑽研程式碼、找漏洞,他們其實更傾向利用人性,直接向目標對象索取資料,成功率更大。

黑客只會敲鍵盤?你以為是看電影嗎?

黑客只會敲鍵盤?你以為是看電影嗎?

在外國就曾經有記者「以身試法」(Fusion原文報導),邀請職業黑客示範利用社交工程入侵他的生活。結果黑客凱旋而歸,其中一名女黑客只憑目標的全名、電話號碼和他女朋友的名稱,用假來電顯示冒認為目標的電話號碼,然後加上一段YouTube上的罐頭嬰兒哭聲騙取同情心,成功假裝成目標的妻子,從電訊商手上得到目標的個人電郵,甚至重設賬戶密碼,整個過程都是透過電話熱線進行。另一名黑客則在目標的社交媒體上得知他在亞里巴巴上訂購了新的懸浮滑板,於是裝成亞里巴巴客服向他寄出釣魚電郵,亦成功令他中招。

BB哭聲竟然可以令熱線人員降低警覺!

BB哭聲竟然可以令熱線人員降低警覺!

提防騙案:堅持自己主動聯絡服務供應商

主動出擊難,願者上釣卻不難,尤其知道對方能夠說出我們很多重要資料時。今次選民資料外洩的後果很嚴重,雖未有證據顯示有不法之徒染指這些個人資訊,但提高警覺一定無壞。以後如果接到預期之外的「服務商」聯絡,而他又向你索取證實身份的資料的話,不如先收線,然後才自己直接聯絡該服務商跟進;收到「客服」的電郵,也不要馬上點擊信內的連結,自己造訪服務商的官網、登入帳戶了解更多。總之自己小心點,總不怕「姜太公」有機可乘!

97%含PayPal域名網站都是釣魚網站 兩招區分真假!

釣魚電郵例子:PayPal不會籠統稱電郵收件人為”Member”,他們會直接用對方的全名,如 “Dear Chan Tai Man”。(圖:Life Hacker)

釣魚電郵例子:PayPal不會籠統稱電郵收件人為”Member”,他們會直接用對方的全名,如 “Dear Chan Tai Man”。(圖:Life Hacker)

 

(原文刊登於2017年4月7日《信報》科網人語專欄)

相關連結:

Cybersecurity plus

發表意見