黑客網騙五種常用手法 「獨家優惠」字句最易騙到港人
(大公報 記者 邵淑芬)「你的賬戶積分將於今日內到期」、「由於欠缺資料,我們無法交付你的包裹」……這些看似是商店或郵遞公司的訊息通知,其實是釣魚詐騙案的手法。根據香港電腦保安事故協調中心的數據,去年第4季度共錄得1.6萬多宗本地網絡保安事故,其中透過電子郵件或即時短訊發起的網絡釣魚攻擊,是網絡安全的最大威脅,超過1.3萬宗事件與釣魚攻擊有關,季度同比增長90%。有信用卡機構認為,在數碼優先時代,消費者了解詐騙語言陷阱,變得越來越重要。
Visa發布最新環球研究報告,揭示面對精通科技的消費者,網絡犯罪分子依然有機可乘。儘管近半數消費者對於自己識別詐騙的能力充滿信心,全球仍有73%受訪者容易忽略數碼通訊中的可疑信號。
不法分子的數碼騙局手法層出不窮,消費者越來越容易成為詐騙語言陷阱的受害者。無論在日常生活或工作場所,消費者經常接收騙徒透過電話、短訊和電子郵件發放「提供免費贈品」的訊息作招徠,以及要求「立即」提供個人資料,否則服務即將中斷等誘騙。
詐騙案半年涉金額21億
Visa香港及澳門區風險主管麥佰風表示,在數碼優先時代,消費者了解詐騙語言陷阱,變得越來越重要。騙徒的詐騙語言及手法層出不窮,任何人都有可能遭受其害。了解詐騙語言的特性有助預防全球罪案發生,而教育消費者識別詐騙語言,也是Visa保護消費者的重要一環。
蒙受數碼詐騙的受害者,往往付出高昂代價。根據香港警務處公布的數據,去年上半年的詐騙案按年增加42%,超過1.2萬宗,涉及損失金額約21億元。購物騙案、求職騙案、投資騙案及電話騙案佔騙案總數60%以上。2022年財政年度,Visa從1.22億筆交易當中,成功阻止總值7.2億美元(約56.5億港元)的企圖欺詐交易,防止了用戶在這些交易損失。
Visa提醒消費者,在點擊任何網絡連結前,可多花幾秒鐘識別詐騙分子的語言陷阱。簡單有效的方式包括:保護個人資訊、勿點擊不明連結、勿開啟透過短訊或電子郵件傳送的即時交易通知、查證資訊真偽時,只撥打公司網站或信用卡和簽賬卡背面提供的電話號碼,切勿隨意撥打電子郵件或短訊中提供的不明號碼。
保護個人資訊 勿亂點擊連結
投資者及理財教育委員會旗下錢家有道亦列出網上交易安全守則,提醒市民不要向他人透露自己的登入號碼及密碼、不要將密碼記錄在電腦、手機或當眼位置、不要使用公共場所的電腦,以及來歷不明或不安全的網絡連接,更不要下載來歷不明的軟件。
錢家有道建議市民,仔細查閱網上戶口所有交易文件、定期轉換密碼及避免重複使用同一密碼、留意戶口資料有沒有任何未經授權的更改、避免透過電郵的超連結、互聯網搜尋器及可疑的彈出視窗登入網站、關閉無需使用的無線網絡功能(如WiFi和藍牙),及為電腦和手機安裝任何軟件及應用程式時,應三思保安及私隱的問題。
若想測試自己是否容易成為網絡詐騙受害人,錢家有道網頁設有反網絡詐騙測試,市民可以看看自己是否有良好的上網習慣及防騙知識。
黑客五種常用手法
中間人網絡釣魚
架設釣魚網站作代理,在中間代理受害人與官方網站進行雙重認證。成功驗證後,會把受害人載入官方網站繼續使用服務,其實黑客已經在背後偷取受害人的Session Cookie。
MFA疲勞攻擊
短時間內發出大量多重要素驗證授權請求,不斷轟炸受害人,務求令受害人誤按同意授權。
偽裝廣告
在搜尋平台上賣廣告,令假網站在搜尋結果的頭數位,甚至前於被冒充品牌的官方網站,受害人一不留神就登入這些假網站。
OAuth釣魚攻擊
受害人不知就裏授予權限給惡意程式,令惡意程式可以存取到用戶的資料。
利用社交工程
如近期虛擬銀行騙案,犯案者利用朋友關係,成功記錄受害人容貌及身份證等個人訊息來開戶借貸。
多重驗證非保險 黑客仍可攻擊
生產力促進局轄下的香港電腦保安事故協調中心表示,今年須留意五大資訊保安風險,包括身份/憑證盜用、利用人工智能(AI)的攻擊、網絡犯罪服務、針對Web 3.0的攻擊及物聯網(IoT)廣泛應用引發的攻擊。手機、手錶、智能家居都是IoT設備。
該中心表示,在日常生活,都會登入不同電子平台,從網購平台、網上銀行,以至工作及私人的電郵系統。平台需要驗證用戶身份,近年提倡的多重要素驗證是目前其中一種較安全的方法,但黑客仍然有技術盜取身份。
有不少網絡罪犯通過出售或者出租他們的工具來圖利,讓整個網絡犯罪更加商業化、工業化,大大降低技術門檻。普通人只需要低廉價錢,就可以購買或租用工具,或者購買大量個人資料來發動網絡攻擊,例如勒索軟件低至100美元都有交易。
「獨家優惠」字句 最易騙到港人
根據Visa在全球包括香港在內的18個市場,向共6000名成年人進行調查,發現不法分子進行詐騙,是利用了消費者對詐騙手法的認知誤差。
調查發現,消費者普遍認為自己對詐騙訊息有足夠警覺,相比之下,90%受訪者傾向擔心朋友或家人不慎遇到潛在詐騙,包括收到要求驗證賬戶的電子郵件或短訊、銀行賬戶透支查問,及網上購物網站有關贏得禮品卡或產品的通知。詐騙最易得逞的標題,往往是讓消費者感到興奮的事情,通常包含「中獎」、「獨家優惠」或「免費贈品」等關鍵字句。在香港,消費者表示最容易被「獨家優惠」吸引,其次是「點擊此處」和「限時優惠」。
單看偽造細節難辨真假
81%受訪者僅以犯罪分子偽造的細節,以辨別資訊真偽,其中把注意力投放在公司名稱與標誌的人佔超過40%。事實上,消費者應該透過檢查賬戶號碼,或查證他們與該公司的連繫等難以偽裝的細節,以辨識詐騙,這才能保護自己避免受騙。
報告又顯示,只有60%受訪者會確認資訊是否來自可靠的電子郵件地址,而不足一半消費者會檢查電子郵件是否有錯字。加密貨幣用戶較非加密貨幣用戶更擅長辨識潛在詐騙,近49%的加密貨幣用戶會檢查賬戶資訊,以確認訊息的真實性。
(來源:大公報A11:經濟 2023/03/19)
評論