【釣魚信息詐騙】拆解釣魚陷阱 專家醒你5招實用防騙貼士
【明報專訊】今時今日,釣魚信息詐騙陷阱的受害者就好像便利店一樣,總有一個喺咗近。
以為長者、低學歷人士才會受騙就大錯特錯。據警方最新公布數字顯示,2023年第一季錄得的1408宗釣魚詐騙案件中,受害者年齡層涵蓋18至78歲,當中更有大學生、會計師……
既然任何人都可能成為受害者,今次就一齊聽聽專家教路,學幾招實用防詐貼士。
智能手機已成為都市人不可或缺的隨身物品,除了上網、收發信息,還會用來買賣股票、電子付款、網購等,為生活帶來許多方便。不過,每當涉及錢銀交易,自然吸引犯罪分子關注,利用各種安全漏洞或心理弱點來詐騙。而在眾多手法中,釣魚(phishing)詐騙(見「知多啲」)因毋須使用複雜電腦技術,而且架設假網站的成本相對較低,廣受騙徒採用。
今年首季「釣走」2610萬港元
根據香港警方網絡安全及科技罪案調查科署理高級警司陳純青早前公布的最新數字顯示,今年首季錄得1408宗釣魚詐騙案件,合共損失約2610萬港元。記者會上,警方邀請其中一名受害者親述經過。陳女士(化名)指今年2月14日收到假冒電訊商的SMS短訊,提醒積分即將到期,她點擊連結,內容指可用積分加1元換取藍牙無線耳機。由於自己曾登記做該電訊商的會員,而家人亦曾換領禮品,因而令她誤信眼前信息,並按指示填寫信用卡資料付款,結果翌日收到信用卡被盜用紀錄,騙徒在韓國網購平台盜刷兩萬多港元。陳女士說現時已停用該卡,但未知能否追回款項;而今次受騙令她成驚弓之鳥,不敢啟動新卡,而收到陌生人寄來信息也不敢打開。
利用手機漏洞 偽冒發送人難識破
網絡安全及科技罪案調查科總督察葉卓譽指,騙徒最懂利用市民的心理弱點,例如訛稱有退稅優惠、寄件未付郵費、戶口出現異常狀况,又或上述的積分騙局等,促使收到信息的人在未有深思熟慮下提交個人私隱資料,因此即使受過高等教育人士也有可能上當。以過去一季的最大一宗騙案為例,受害人為會計師,同樣因為誤信積分到期而點擊兌換連結,最終損失超過70萬港元。葉卓譽解釋,這種詐騙手法不易被識破,因為騙徒可以偽冒信息發送人名稱(sender ID),例如假扮成某電訊商的名稱,只要接收短訊的人過往收過該電訊商的信息,這條惡意信息便會自動被放入同一組信息串中,令市民誤以為由官方發送。他說以電腦及手機接收附有惡意連結信息的最大分別是,前者在滑鼠浮標移至連結時,畫面會彈出連結網址的全寫預覽,令收件人有更大機會發現網址並不屬官方連結;而手機沒有預覽功能,收件人必須點擊連結後才能在瀏覽器的網址列看出真偽,因此更易中招。
防騙視伏App 辨識詐騙陷阱
陳純青表示要阻止釣魚詐騙,現階段警方只能由源頭阻截做起,除了與通訊事務管理局辦公室合作,封鎖或停止騙徒使用的電話號碼,以及提醒市民提防境外的可疑來電外,又推出「守網者」線上平台向市民介紹各種詐騙手法。在去年9月及今年2月,警方先後推出一站式詐騙陷阱搜尋器「防騙視伏器」及「防騙視伏App」,讓市民利用搜尋器評估來電號碼、網站連結是否曾被舉報。
官方App Store都有「伏」
除了詐騙短訊、網絡釣魚電郵,網絡安全公司Check Point香港及台灣技術總監侯嘉俊指出,騙徒手法並不限於以假連結盜取受害者的帳戶或信用卡資料,還會誘騙對方安裝虛假的手機應用軟件。記者翻查近年的網絡安全報道,發現雖然Apple及Google各有一套安全審查機制,雙方均會檢測及阻止內藏惡意功能的軟件上架,但隨着近年騙徒使用各種方法如加密(encryption)、混淆化(obfuscation)惡意程式碼,又或上架後才透過自動更新注入惡意功能等,導致惡意軟件避過審查機制的事件常有發生。最近Check Point團隊便發現網絡犯罪分子在東南亞推出多個偽冒知名企業的Android手機應用軟件;至於台灣,騙徒製作的「遠通電收ETC」偽冒程式在Google Play錄得超過100萬次安裝,可見這種誤導手法的成功率非常高。
亂裝免費防毒軟件 小心中招
他又提到雖然Google Play Store上有不少手機防毒軟件可供免費下載,但大家應留意所謂「防毒軟件」可能就是惡意軟件。由本年初至今,Check Point安全團隊已在Google Play Store發現6個偽冒「防毒軟件」,在下載使用這些防毒軟件前,必須選擇有信譽的供應商,同時要驗明正貨,以免錯誤下載偽冒軟件。
侯嘉俊說市面上有不少專業級反網絡釣魚軟件,例如他們研發的ZoneAlarm Mobile Security,可供流動裝置用戶購買,或由企業購置保護員工的流動裝置。這些軟件的網絡攻擊數據由人工智能從多個來源採集,因此可實時封鎖最新網絡釣魚網站,對智能手機的保護較強。●
延伸閲讀:【知多啲:活字印刷】易學難精 工序繁瑣 粒粒皆辛苦
● 防騙貼士
咪亂click連結 忌下載第三方軟件
1.手動輸入官方網址
由於文字信息內的超連結可能會被縮短,難以分辨網站真偽,如接收到帳戶異常或需登入帳戶的信息,應手動於瀏覽器網址列輸入官方網址才登入帳戶,避免點擊信息內的超連結及在未經查證的網站上登入帳戶。
2.勿輕易提供個資、驗證碼
釣魚詐騙通常以盜竊個人私隱、帳戶登入或信用卡資料為目標,使用者應先核實來電者身分或信息真偽,不應輕易向任何人提供個人資料,特別是透過SMS信息接收的額外驗證碼,否則騙徒將可憑驗證碼奪取受害者帳戶及通過支付驗證。
3.更新軟硬件系統
任何硬件或軟件的韌體(firmware),在編寫過程中或推出後,都有可能存在安全漏洞,開發商因而會不時推出更新檔案,堵塞安全問題,如用家未有及時更新,黑客便有可能利用這些已知漏洞入侵,部分漏洞甚至毋須用戶做任何動作,例如防毒軟件公司Kaspersky最新發現iOS的iMessage存在零點擊漏洞,黑客只需向用家發送一個包含惡意附件的信息,即可觸發漏洞並完成整個入侵程序,不過該攻擊只對iOS版本15.7及之前的作業系統有效,故手機或電腦用家最好為各種軟硬件開啟自動更新功能。
4.設定手機 禁裝未知應用程式
Apple、Google近年逐漸收緊審批上架應用程式,例如要求開發者先通過身分驗證,以人工智能及人手偵測應用程式中有否惡意編碼等,雖然未能100%阻止惡意軟件於官方商店上架,但總比沒監管的第三方商店及來歷不明的安裝檔案安全。iOS作業系統本身不容許用家安裝App Store以外來源的應用軟件,而Android方面雖也預設為禁止安裝第三方軟件,但用家仍可能不小心更改了設定,所以應定期進入「設定」>「生物特徵與安全性」>「安裝未知的應用程式」內查看,特別是如親友們不熟悉智能手機操作,便最好替他們轉為全面禁止設定。
5.小心授權手機權限
在安裝軟件前,用家應細閱開發商要求取得哪些手機功能的使用權限,如要求取得與應用程式功能不符的權限,例如防毒軟件App要求取用相機或收音咪功能等,只要用家有任何懷疑,便不應授權安裝。此外,花時間細閱其他用家的評價也有一定幫助。
如懷疑受騙,市民應保存相關電郵或信息,並盡快致電18222或報警求助。網絡安全及科技罪案調查科總督察葉卓譽提醒,如曾在可疑網站輸入信用卡資料,即使沒有按上傳或確認,犯罪分子都有可能記錄了所輸入的資料,因此應密切留意信用卡有否被盜用,甚至可聯絡發卡銀行停用。●
資料來源:網絡安全及科技罪案調查科、Check Point香港及台灣技術總監侯嘉俊
文:周群雄
美術:謝偉豪
編輯:梁小玲
facebook @明報副刊
[Feature]
知多啲:九成受害者收惡意信息「上釣」
【明報專訊】根據網絡安全及科技罪案調查科的定義,但凡透過SMS、即時通訊軟件、電郵發放的惡意信息,目的是為了騙取受害者輸入個人私隱或信用卡資料,便會歸類為釣魚詐騙。
以往香港警方會因應騙徒的詐騙目的,例如盜用帳戶、盜用信用卡資料等,獨立分類計算;但由於通過惡意信息詐騙的案件不斷增加,因此今年起統一歸類為釣魚詐騙。而在今年首季1408宗個案中,超過九成受害者都是通過SMS短訊及即時通訊軟件接收詐騙信息。不過,網絡安全及科技罪案調查科署理高級警司陳純青說,相信絕大部分市民都收過這類短訊或電郵,只因沒有受騙或損失才未有報案,所以他認為大家不應忽視其嚴重程度。
延伸閲讀:【港車北上7.1實施】珠海自駕遊起步 熟習內地駕駛狀况 專家分享港人北上自駕遊8大注意
誘餌與生活相關 「易通行」也有假
他說警方觀察到,騙徒使用的誘餌均與市民生活息息相關。例如去年騙案主要以假冒郵遞服務,但在去年尾就延伸至電訊商、連鎖零售集團的積分計劃,最近更開始涉及不停車繳費服務「易通行」等。市民要避免受騙,最有效的方法還是要加強網絡安全意識。●
[Feature]
Link有「鎖頭」≠安全
【明報專訊】以瀏覽器上網,大家或會留意到網址列旁有個鎖頭圖標。惟很多人誤會它的含意,以為代表網站已通過安全驗證。事實上兩者毫無關係,Google在2017年推動網站採用HTTPS加密通訊技術,即網站伺服器與瀏覽器之間的數據傳輸會被加密,以防止黑客解讀,因而推廣鎖頭圖標,以區別沒有使用加密技術的網站,但不代表網站內容已通過安全驗證。由於現時99%網站都採用HTTPS加密通訊技術,因此Google決定在今年9月推出的新版本Chrome中隱藏鎖頭圖標。●
[Feature]
