甚麼是Phishing網絡釣魚? 拾捌堂Cybersecurity教室系列之一 5分鐘要你看懂!

A 22 - 甚麼是Phishing網絡釣魚?	拾捌堂Cybersecurity教室系列之一	5分鐘要你看懂!

各位有沒有聽過」WannaCry”?它究竟令全球企業損失了多少金錢?

甚麼是WannyCry?為何兩年前此網絡襲擊能夠震驚全球企業?今期拾捌堂將會教授大家資訊安全(Information Security)的知識,教教大家認識各類不同的網絡攻擊(Cyberattack)。當今是數碼及工業革命4.0的年代,不法之徒要獲取巨大利益,已不像以往拿著AK47到銀行打刧就能發大財,反而黑客透過網絡襲擊遠比實體行刧的破壞力大得多。據各大型資安防護公司報告指出,2017年的WannaCry導致全球損失超過40億美元,近300,000部機器和裝置受感染。

不論企業的規模如何,我們都必須正視網絡保安問題。拾捌堂將會一連幾集介紹各類最常見的網襲,同時教授你一些基本貼士,好讓你提高整體安全意識,及保持最高警覺,免受網絡攻擊。今次詳細講解Phishing(網絡釣魚)。

甚麼是Phishing?

顧名思義Phishing就是利用電郵或其他方法吸引員工「願者上釣」。Phishing可分為三類型:行為釣魚(Action Phishing)、漏洞釣魚(Exploit Phishing)及憑證釣魚(Credential Phishing)。

行為釣魚(Action Phishing):黑客通常狙擊一些企業高層、或有財政掌管權力的人,入侵他們的電郵帳戶。如入侵了某企業的CEO(Chief Executive Officer)電郵後,就向CFO(Chief Financial Office)以電郵發出請求,命令他們進行緊急匯款到某帳戶。通常CFO見到自己的上級電郵,甚少作出懷疑,乖乖地馬上匯款,最後導致巨額損失。

漏洞釣魚(Exploit Phishing):這是最常見的phishing。黑客通常利用電腦沒有更新的盲點,向員工發出電郵,連帶有惡意程式(Malware)的附件,通常是doc或pdf格式的檔案,或有些連結在附件裡。員工如沒有警覺性的話進行點擊打開檔案,惡意程式就會馬上植入電腦,外洩企業資料。

憑證釣魚(Credential Phishing):另一最常見的詐騙方式。黑客會引誘用家到一些虛假銀行網站,其外觀和功能與真正的銀行網站100%相同,而網址亦極度相似。受害人會不虞有詐地輸入登入名稱和密碼,最後被盜取金錢。

例子一:公司電郵裡不時出現一些不知名人士寄來的郵件,如果你一點擊入面的附件就會馬上「中招」,植入木馬程式。

例子二:假網址,如Facebook的真實網址為www.facebook.com,而www.facebook.net則是詐編網站,這引誘受害人向黑客提供自己的帳戶和密碼。

例子三:沒有SSL(Secure Sockets Layer、網站安全證書)憑證的銀行網站。銀行網頁必定有SSL憑證,這是經保安機構和多個政府部門所認證。如果你登入銀行網頁或進行網上付款時沒有SSL認證(如下圖),這就是詐騙網站。

圖示的銀行有SSL認證的網站,以”https”為開首和有鎖形圖示為證。

如何應對?

Phishing大部分是針對員工意識行為(Employee Behaviour)而進行襲擊。據多間保安公司調查指出,有高達97%的員工並不知道他們曾跌入Phishing陷阱。即使企業有十分強勁的保安方案,但無法阻止員工的網絡行為。因此我們必須正視一切的網絡行為。以下為一些防止Phishing的簡單貼士:

預防Phishing的三大貼士:

貼士一:及時更新防護軟件和Windows系統—更新是為了堵塞網絡保安漏洞,因此各位切勿怕麻煩,要定時更新。

貼士二:切勿點擊垃圾郵件—很多詐騙電郵帶有惡意連結,切勿胡亂點擊。

貼士三:確認SSL—假如你要登入銀行網站,必須認清該網站有SSL憑證才登入。

網絡保安是一門非常專業和深厚的學問,我們必須時刻保持警覺和學習,吸收最新的保安資訊。下回將會講解甚麼是Ransomware勒索軟件,請點擊繼續了解!

三大編輯精選:

什麼是Malware惡意程式? 拾捌堂Cybersecurity教室系列之三 3分鐘令你學識!

Endpoint Security 比普通防毒軟件的優勝之處在哪裡?

OMG是病毒嗎?拾捌堂教你移除Facebook OMG遊戲程式

想知道更多林老師的創業及數碼推廣秘技?快點關注我們的Facebook Page吧!

FOLLOW OUR FACEBOOK

發表回覆

你的電郵地址並不會被公開。 必要欄位標記為 *