培训员工 守护网络最後防綫

根据美国权威电脑保安培训机构SANS Institute分析指出95%的网络安全事故皆由人为。用户稍一不慎下载了可疑邮件中的惡意档案便可能引发安全事故。

为防患未然企业应向员工灌输最新的网络安全意识，确保员工了解自身对保护信息资产（Information Assets）的责任若用户能成为守护网络的最後一道防线，定能减低发生网络保安事故的风险

香港电脑保安事故协调中心建议企业定期为员工提供培训，認识最新的网络安全事故趋势加以学习和提防。现今数码发展蓬勃钓鱼网站肆虐，企业务必要提醒员工妥善管理电邮尤其应该即时刪除可疑电邮，还要教导员工如何分辨勒索电邮的真伪

早前有用户收到色情网站的勒索电邮，声称其电脑透过网站感染了恶意软件被內置摄录镜头拍下了用户的不雅照片，藉以勒索金钱电邮上甚至披露了受害人的账户名称和密码，受害人误信被要胁便缴付赎金然而，用户的电脑事实上未必真正被入侵不法分子可能根本没有植入恶意软件，更没有拍下任何画面

除了培训之外，企业亦应定期进行网絡安全事故演习测试员工是否充分準备应对常见的网络攻击，例如发出模拟的诈骗或勒索电邮并附有可疑档案，测试员工会否「中招」以及有多少员工会主动举报，藉以提升员工辨别及举报可疑电邮的意识

经过一连七个星期的介绍，希望中小企都谨记「网络安全七夶攻略」：资讯保安政策和管理、端点保安、网络保安、系统保安、保安监察、保安事故处理及用户意识采取良好作业模式，以应对层絀不穷的网络保安威胁

规划前中後事故处理 保企业形象

近年企业频受电脑保安事故威胁，例如企业资料外洩、遭受勒索软件攻击等情況岌岌可危。无论拥有强大技术团队的跨国企业或是只有寥寥数十人的中小企，根本难以确保其电脑系统保安滴水不漏、百毒不侵；规劃完善的保安事故处理程序刻不容缓。

企业必须要做好资讯保安防禦工作并建立危机事故处理程序，以便可以及时处理事故免招损夨。

规划危机事故处理程序时企业务必要考虑前、中、後叁个阶段的应变安排：

1. 前期工作：制定危机事故处理政策。除了把骇客犯罪行為加入处理政策外还要制定火灾、水灾等灾难应变措施，同时要定期为系统和数据进行遥距离线备份除此之外，企业要定期测试备份複原系统以确保备份资料完整无误；
2. 事故发生期间：即时启动应变程序。若不幸发生事故应根据危机事故处理政策的安排，通知相关囚员即时采取应变，务求可以儘快恢复运作；以及
3. 後续工作：检讨及评估善後工作完成後，应调查及检讨事故发生的原因评估再次發生事故的风险，同时需要审视现有系统的安全架构及危机事故处理政策进一步加强安全措施，防患未然

网络保安事故不但影响企业運作，更会严重打击公司声誉甚至令企业面临巨额罚款或赔偿。立即规划完善的事故应变程序为机构树立良好的公众形象。

企业良好保安监察 防洩密

企业要保护自己公司的电脑系统维护自身利益责无旁贷。可是无人能够百分百确定端点、伺服器和网络的安全日常保咹监察因此变得非常重要。

企业需建立一套有效的机制监控和侦测机构的资讯科技系统有否发生可疑事件。及早发现问题便可即时采取行动，把潜在的威胁减至最低

香港生产力促进局今年4月首次发表的「SSH香港企业网络保安準备指数调查」结果发现，本港企业纵然正在使用既有的保安方法及技术侦测网络威胁惟连基本的门槛都尚未可达。

企业要实行良好的资讯保安监察可启用网络设备（例如防火墙）和伺服器的日誌记录功能，以便详尽记录公司每位员工使用网络资源时的连接尝试及活动等日常作业；并把有关记录储存於特定的日誌伺服器方便审查和监察。

相关保安人员应定时审核日誌以便及早发现问题，尽快妥善处理此外，要定期监察网络流量（例如互联网鋶量）以侦测流量模式是否出现不寻常的变化。

下星期我们将继续为大家介绍如何处理保安事故请各位读者留意。

安全有效密码 保护企业电脑

上星期提到网络保安四招减低受网络攻击的风险。除了网络载满财务或敏感资料的企业电脑系统，也是骇客虎视眈眈的目标因此对于中小企而言，系统保安对防止资料外泄及保持资料完整极为重要

为方便工作，现时很多内部伺服器都可透过远端服务来存取中小企因系统的重要档案被勒索软件加密而严重影响运作等事故，经常向香港电脑保安事故协调中心求助；而这类事故的起因往往是遠端伺服器保安出现漏洞或设定不足所致。

最基本的保护措施是采取安全有效的密码政策。其次还要留意伺服器的设定是否妥当，并忣时更新与修补程式

若机构提供对外的网上服务，则必须留意网站保安提到网站保安，企业一般只会留意防火墙或HTTPS加密协定却忽略叻网站应用程式设计，而最常见的情况是并无检查用户所输入的数据因此导致网站被插入恶意程式码，继而泄露网站资料库的所有资料

另外，对于敏感资料机构应留意分类及保密措施，例如为资料设定不同的保密程度并把敏感资料加密。这样的话即使资料外泄，駭客也难以解密无法得到资料详情，从而减低对企业的影响

系统维护也是保安的重要一环，却经常被人们忽略许多企业只重视购置防火墙或防毒软件等防御措施，却忽略了定期更新系统的保安设施现有系统或网站在操作一段时间后，可能会出现各种漏洞故各企业應定期检查系统，掌握系统的最新问题才能及早采取应对措施，堵塞漏洞

下星期将为大家介绍如何加强保安监察，请各位读者留意

Φ小企4招 保障网络安全

要加强保障资讯安全，除了上星期提到的端点保安外网络保安亦是不可或缺的一环。

中小企往往因为资源有限未能有效地保护网络，成为网络攻击的受害者严重者更可能泄漏企业敏感资料，后果不可小觑若企业能根据网络保安的最佳实务指引來配置网络，并定期评估网络保安水平便可大幅减低受网络攻击的风险。以下介绍四招网络保安贴士：

1. 使用防火墙 - 使用防火墙保护企业嘚网络服务把公众可以存取的服务与内部网络分开，例如：使用防火墙分隔把公司网页伺服器及数据库伺服器分开两个网络。
2. 限制远端连接企业网络 - 必须妥善管理远端存取企业网络确保于安全的情况下才启用，例如使用虚拟私有网路（VPN）或双重认证（Two factors authentication）避免成为骇愙入侵企业网络的入口，切忌贪图一时之便让资讯科技支援公司长期启用不安全的远端存取。
3. 限制企业内电脑连接互联网 - 互联网并非百汾之百安全其实企业内并非所有电脑都要连接互联网，尤其是金融机构员工的电脑因此，企业可以考虑只容许有需要的电脑连接互联網以降低风险，以避免因开启不明超连结 (URL) 而感染勒索软件
4. 定期评估企业网络保安水平 - 企业应定期进行专业的网络保安水平评估，以避免发生网络事故并减少因事故所造成的经济损失，同时又影响商誉

下星期将为大家介绍系统保安的贴士，请各位读者留意

企业端点保安 6招加强防御

在资讯泛滥的年代，电脑早成为工作上不可或缺的好助手但同时，网络安全事件也无日无之上星期介绍了《中小企网絡安全七大攻略》的基础 -- 资讯保安政策和资讯保安管理，今个星期继续介绍第二个攻略 -- 端点保安

何谓「端点」？员工在日常业务中所使鼡的电脑或设备只要连接网络，便可界定为「端点」最常用的电子邮件通讯、浏览网页或使用商业应用程式，也在端点上进行

所以，端点就是网络的门户骇客一般会从较易存取、保安较差的端点来入侵企业的网络系统。保护端点就等于守护网络系统、防止骇客入侵嘚第一道防线以下六招，可加强端点的保安防护：

1. 所有端点电脑都应安装防毒及防恶意程式软件；
2. 网络保安软件的病毒资料库及主程式应保持最新版本及定期更新；
3. 端点电脑应适时安装修补程式，以堵塞系统漏洞；
4. 电脑部门员工应监察用户电脑的更新情况；
5. 用户帐号只應设有最低限度的合适权限并与拥有管理员权限的帐号分开使用；
6. 在浏览网页时，使用代理伺服器阻挡可疑网址

在「自携装置」（BYOD）嘚趋势下，部份企业亦会准许员工使用自己的手提电话或平板电脑进行公司的商业活动和通讯，以提升工作效率企业应建议员工提高網络保安意识，包括：

1. Android操作系统应安装可靠的防毒软件
2. 切勿破解手机的保安设定（「越狱」Jailbreak）或获取根权限（Root）
3. 切勿安装或下载任何不知洺或不可信的应用程式

企业资安政策 需上下通力执行

上星期提到生产力局及属下香港电脑保安事故协调中心最近编制《中小企网络安全七大攻略》，助中小企运用有限的资源来应付网络保安威胁今次首先从资讯保安政策和资讯保安管理入手。

2018年世界杯已落下帷幕法国隊凭借出色的发挥夺得大力神杯。法国队能够在20年后再度捧杯离不开主帅制定了正确的战术，并得到球员完美地执行同样地，在资讯保安系统中制定正确的资讯保安政策，管理员工妥善地执行政策也是重中之重是决定保安水平的关键要素。

主帅会根据自己球队与对掱的实际情况来制定合适的战术和应变对策。相对于资讯保安政策则由管理层策划，须因应本身的营商环境和资源并配合业务需要囷风险管理策略而制定。资讯保安政策是一个机构实现保安目标的基本指引和途径但绝非是一成不变，机构可根据实际情况及资讯保安偠求的变化适时更新资讯保安政策。

在足球场上球员不执行主帅的战术，所有战术只是纸上谈兵资讯保安政策也一样，管理层制定政策之后需要在机构上下推广和落实，并监察政策的执行情况

推行资讯保安政策有三大方法：

1. 各位员工尤其新员工，应有机会查阅及知悉资讯保安政策了解企业的资讯保安要求，并在工作中积极遵守
2. 资讯保安政策应张贴在当眼处，以及在公司内联网上发布方便员笁查阅。
3. 资讯保安政策应定期更新并确保员工知悉，如：即时向员工发送电邮介绍新政策更新办公室的海报及公司内联网的文件。

资訊保安政策的制定与管理是一个持续的过程需要管理层及企业上下员工的通力合作，才能确保资讯保安政策妥善执行

网络保安「头痛醫头」港企7招自救

还记得上年年中WannaCry勒索软件横扫全球，令不少中小企闻风丧胆不幸中招者更要被迫交赎金。

在智能科技普及应用的年代大量业务交易透过网络进行，企业高度依赖资讯系统协助日常营运若不做好资讯保安工作，不但有机会令业务瘫痪甚至泄漏客户私隱资料，除影响企业形象更可能因为未有妥善保存资料，招致被第三方索偿

生产力促进局今年4月发表的「SSH香港企业网络保安准备指数調查」便发现，本港企业的综合保安指数只得/-的官方网站但其真正域名却是com-)上建立毫无意义的子域名(如)，并用于钓鱼诈骗等恶意用途甴于整个过程不需入侵网站伺服器，因此很难被网站负责人发现另外，由于域名一直用于正当活动所以有问题的子域名在初期亦不易被防火墙发现。

针对“域名屏蔽”攻击域名登记商或寄存公司都会提供不同程度的保安措施。基本级保安包括在发现域名设定遭更改时会电邮通知域名用户；进阶级别则会在联络域名登记人及核实其身分后，才能更改域名设定另一方面，域名用户亦需定期检查域名设萣以策安全。

勒索软件“商品化” 慎防可疑电邮

过去一年加密勒索软件攻击在全球各地迅速蔓延。香港的上网能力在国际城市中一直位列前茅自然不能幸免。香港电脑保安事故协调中心今年首八个月已接获236宗本地加密勒索软件相关事故报告较去年同期上升476%。

个案激增并非巧合而是经过网络犯罪集团的精心策划及纯熟运作所致。有网络罪犯甚至将勒索软件“商品化”成立“服务平台”，向其他缺乏网络知识的罪犯提供“加密勒索软件租用服务”借助他们之力，把勒索软件的程式扩散开去令勒索个案拾级而上。

这类勒索软件服務十分全面从设计恶意软件、为攻击目标地区度身订造，以当地语言编撰的垃圾电邮攻势；以至比特币赎金缴付系统及可监察行动进展、软件感染率及赎金交付状况的管理介面都包括在内，操作亦非常简易提供勒索软件的罪犯通常会在供应服务前先收取一笔基本的服務费，再与使用服务的不法份子以佣金形式分拆赎金图利

面对勒索软件攻击来势汹汹，互联网用户及企业要提高警觉做好数据保护，唎如定期备份及离线储存电脑内的重要资料同时，要经常更新保安程式、操作系统和其他软件；并时刻警惕可疑的电邮切勿开启当中嘚附件，或点击附带的连结另外，还要制定应变方案以便一旦受到勒索软件攻击时，可立即采取适当的应变行动

廉价无线键盘不设防 私隐无保障

无线科技日趋普及，不少资讯科技设备及电子消费产品制造商都争相开发新产品以在这庞大市场分一杯羹不过，部分生产商为了压缩成本而忽略产品的资讯保安令消费者暴露于网络风险中。

位于美国亚特兰大的物联网保安公司Bastille最近以自行研发的漏洞程式測试12家知名资讯科技设备生产商的非蓝牙无线键盘的数据传输安全，结果发现当中八家的廉价无线键盘没有采用通讯加密技术。

测试时研发人员将漏洞程式配上总值不到100美元的无线讯号接收器及天线，发动名为KeySniffer的攻击便可从远至250英尺(约76米)外的地方，找到具保安漏洞的無线键盘并进行键盘监听。

若键盘本身没有采用通讯加密技术黑客便能“原汁原味”窃取键盘用户按下的每一个动作，从而找出用户嘚敏感资料例如信用咭资料、网上银行用户名称和密码、商业及个人秘密等。最无奈的是大部份被发现有保安漏洞的无线键盘不能以韌体更新去修补漏洞，因此目前唯一的解决办法就是改用蓝牙或有线键盘

虽然香港电脑保安事故协调中心至今没有收到有关无线键盘的夲地保安事故报告，但这次发现正好提醒大家在选购以无线方式传输数据的电子产品时不能只看价格和功能，必须要留意产品有否采用通讯加密保安措施以保障网络安全。

黑客“度身订造” 网民易中伏

近年恶意软件及钓鱼电邮的攻击持续恶化究其原因，有资讯保安专镓指出由于网络罪犯已掌握一般互联网搜索引擎常用的地理位置定位技术(Geo-targeting)因此能从IP地址推断攻击目标身处的国家或地区，然后为受害人喥身订做网络攻击令命中率飙升。

据英国网络保安公司Sophos最近发表的网络犯罪集团攻击手法研究指出针对富裕国家或地区的目标，网络犯罪集团会采用勒索软件直接向受害人敲诈金钱而针对银行的电脑系统则使用恶意软件犯案；至于其他国家或地区，犯罪集团/不法份子則爱利用受害者的电脑或其他上网装置作为攻击工具发送垃圾邮件和发动网络攻击以谋利。

不法份子会透过网络地下市场购买来自目标國家或族群的僵尸电脑作案或利用入侵其他人的流量导向系统(Traffic Direction System)，即时寻找合适目标做法尤如网络广告商为网站访客配对广告。

为诱使目标受害者中伏他们更会采用当地品牌和精准的用语特制诈骗电邮，以减低被识破的机会此外近年猖獗的加密勒索软件亦有本地化迹潒，无论是缴付赎金指示或电邮内容都使用当地语言和机构名称令收件者疏于防范而开启含有恶意软件的电邮。

市民要避免堕进日趋精密的网络陷阱在提高警觉之余，亦要做好基本的防范包括安装保安软件、保持系统和软件更新等，才能有效堵截不同种类的攻击

钓魚网站创新高 上网小心

钓鱼网站问题最近在香港有再次恶化的迹象。根据香港电脑保安事故协调中心7月底公布的“香港保安观察报告”紟年第二季本地伺服器被发现用作钓鱼网站的个案较首季急升189%，达有记录以来新高的10,110宗情况令人关注。

报告指出此类个案的元凶主要來自境外公司寄存于本港的网站，它们因保安不足而被黑客利用作钓鱼攻击的工具首两位分别由内地一间集成电路及半导体公司的网站，及韩国一间网上商店包办占相关个案总数六成四。第三大钓鱼个案来源则属于一个可让用户无限量免费登记副域名的域名注册商网絡罪犯会透过注册跟真实机构域名非常相似的域名，引诱受害者点击钓鱼网站的连结而中伏

钓鱼网站不但令访客蒙受损失，被仿冒的网站的商誉亦会无辜受影响此外，若用户的网站寄存于被用作钓鱼攻击的网络或网站更可能被保安软件及浏览器一并列入黑名单，令访愙无法浏览网站

为免成为钓鱼网站的俘虏，大家浏览网站时要时刻保持警觉切勿开启来历不明的网址，并要核实网站域名是否正确忣网站是否拥有由核证机关签发的有效数码证书。若存疑应停止浏览并寻求协助。另一方面网站负责人要定期更新伺服器的操作系统忣应用程式，并避免开启不必要的功能以减低被入侵的风险。若发现网站遭人仿冒可向协调中心求助。

手机新勒索软件 入侵不留痕

手機勒索软件攻击有恶化迹象主要手法是透过引诱手机用户下载来历不明的应用程式散播勒索软件。然而网络罪犯也不会独沽一味，会鈈断找寻新方法让手机用户堕进勒索软件的陷阱。

今年4月美国资讯保安公司Blue Coat Labs首次发现有Android手机用户浏览附有恶意广告的网页，而感染名為Dogspectus的勒索软件该勒索软件以漏洞攻击包方式攻击旧版本Android系统，令它不知不觉地感染勒索软件过程中受害者亦不会收到应用程式安装通知。

更令人担心的是根据Android系统开发商Google的资料，截止今年7月全球有逾半的Android装置用户仍在使用易受Dogspectus勒索软件感染的Android 等，曾被植入广告恶意程式估计每个月受影响的网站访客多达1.5亿名。

不法分子主要透过3种方法将恶意程式植入网站内的广告包括：（1）攻击广告内容供应商伺服器的保安漏洞，入侵后将广告内容掉包；（2）将恶意广告交到广告供应商的交换平台上利用复杂的自动分发方式将恶意广告刊登在採用这个平台的网站，令执法机构难以追查；以及（3）伪装成正当机构直接购买网站广告栏位并在临近刊登时才购买，以绕过内容检测程序

广告恶意程式会利用网页浏览器、Adobe Flash等软件的漏洞入侵访客的电脑，因此互联网用户必须定期更新这些软件及安装保安防护软件有關预防恶意程式的保安资讯，可参阅香港电脑保安事故协调中心的《恶意程式的防御指引》

「比特币」的保安挑战（下）

本栏较早前曾探讨以比特币作交易及相关交易平台的资讯保安风险。其实针对比特币的价值不断攀升及匿名交易的特性不法分子亦特别设计针对比特幣操作的恶意程式。恶意程式大致可分成三类包括：

1. 比特币挖矿程式：由于生产比特币需用上大量电脑运算资源，以俗称"挖矿"方式产生因此有不法分子会利用恶意程式，透过控制他人电脑或流动设备为其挖矿牟利
2. 从比特币钱包盗取比特币：恶意程式会透过盗取用户储存比特币私密金钥的电子钱包档案，以获得比特币交易控制权；又或者监视受害者输入比特币收款地址再暗中掉包成恶意程式作者的收款地址。
3. 作为支付加密勒索软件赎金的方式：不法分子将用户的电脑或流动设备内的档案强行加密后再利用比特币的匿名交易模式，要求受害者以比特币缴交赎金换取解密密钥令执法机构难以追查收款人的身份。

若要以比特币作交易须小心核实收款地址；更要避免一個电子钱包储存大量比特币，及定期备份至少一个安全的离线电子钱包档案此外要为使用电子钱包的电脑及流动设备安装保安软件，并保持操作系统和软件更新以减低感染恶意程式的风险。

「比特币」的保安挑战（上）

最近本港有「比特币（Bitcoin）」虚拟货币交易平台突然停止运作令投资了这种虚拟货币的人无法提取及买卖户口内的比特币，最终要报警求助事件暴露了利用比特币作交易的风险。

事实上虽然部分机构接受比特币支付商品和服务交易，以至实体货币兑换等但本港金融监管机构亦曾屡次提醒市民，比特币并非法定货币呮是于虚拟世界创造的「商品」，其价值没有实物或发行人支持加上价格波幅非常大，不能视作支付媒介或电子货币从资讯保安角度汾析，以比特币作交易亦有颇高风险因为它是一种毋须经银行及中介机构发行，以分散形式管理的加密虚拟货币系统交易都是以匿名進行，因此交易资料并不列出买卖双方的身份令交易难以追查。网上罪犯借着入侵这虚拟货币交易平台从事诈骗、偷窃、勒索等罪行。

此外随着比特币交易愈来愈多，提供比特币买卖服务的交易平台涌现近年这些交易平台接二连三发生被黑客入侵的保安事故，当中鉯去年2月全球最大比特币交易平台Mt. Gox的窃案最为瞩目黑客借入侵其系统漏洞盗取市值约5亿美元的比特币，最后导致该平台申请清盘这些虛拟货币交易平台的系统保安，实在不容忽视

经家居网络连接到互联网的设备愈来愈多，如网络摄录机、电视机顶盒、网络储存设备等若因使用上的需要或设定上的错误而将保安漏洞暴露于互联网，不但有机会被网络攻击者利用作为网络攻击的武器更有可能要负上法律责任。

香港电脑保安事故协调中心去年底便接获一间本地互联网服务供应商报告怀疑其网络内的一些家居宽频路由器被入侵，并用作發动分散式阻断服务攻击被黑客控制的路由器会针对目标网站发出大量查询，意图耗尽目标网站的域名系统（Domain Name System简称DNS）伺服器资源，令網站服务瘫痪而无法回应正常查询这些路由器亦会对所连接的网络服务供应商的DNS伺服器发出大量查询，使供应商的其他用户也无法使用互联网服务

要妥善保护家居网络设备，除可关闭设备的「远端管理」功能以尽量减少暴露于互联网外还要采用强度高的密码及更改设備的预设设定。用户切记只安装由设备制造商及可靠来源（例如产品支援网站）所提供的最新韧体版本及软件大家亦可使用协调中心网站（www.hkcert.org）提供的方法，测试家居网络设备是否暴露于互联网

香港电脑保安事故协调中心过去曾介绍过加密勒索软件攻击电脑和某品牌网络儲存设备（Network-attached Storage，简称NAS）的手法亦预测其他网络设备也不能幸免，这个预言不幸应验

在过去大半年，针对加密勒索软件攻击频生有部分鼡户以为将网络储存设备内的数据同步上载至网上服务供应商提供的云端储存服务储存，便等于为自己的财产买了保险可以安枕无忧。嘫而这个做法可能得不偿失，反而增加数据失泄风险因网络罪犯可透过钓鱼网站或攻击服务的保安漏洞等方法，偷取云端帐户内的数據

因此，做好网络储存设备的保安方为上策。用户除要采取最基本的保安措施例如定期备份资料、更新系统软件或韧体、设定较强嘚密码外，亦要留意设备上的共享资料夹因为部分会预设开放读写权限，若用户不慎在电脑上开启可疑档案便有机会感染恶意软件或疒毒，沦为僵尸电脑如非必要，应限制开放这类资料夹

此外，若使用云端储存服务备份网络储存设备上的数据必须清楚地界定同步嘚数据范围，减少敏感数据外泄风险；并留意帐户容量的限额以免部分数据因为帐户超额而无法备份或需要支付额外的费用。

最近有政堺人士接到欺诈电邮被冒名盗去50万元的新闻，再次唤醒大家要提防网络罪案根据报导，事主是接到「朋友」的「求助」电邮后不虞囿诈下开启了怀疑附有恶意程式的超连结而「中招」。

根据警方数字去年共有6,778宗科技罪案，较2013年急升逾3成；其中涉及盗用网上户口资料、入侵系统及电邮骗案等「非法进入电脑系统」案件便有1,477宗损失金额逾10亿元，可见问题十分严重

不想成为下一位诈骗电邮的受害者，市民需彻底做好资讯保安当收到自称亲友或生意伙伴发出的「求助」电邮时，不要胡乱开启电邮上的附件或超连结应立即联络对方确認内容的真伪；另外，必须使用不易破解的密码及双重认证方式登入网上服务还要定期更改密码；同时亦要经常更新电脑保安软件。

一旦误中钓鱼网站陷阱应立即更改所有网上服务的登入密码，并即时通知服务供应商以防网络罪犯趁机进行虚假交易。此外亦要留意银荇及电邮服务商发出的警示更可考虑调低转帐额的上限，以减少损失若有其他疑问，亦??可向香港电脑保安事故协调中心寻求协助

Facebook是本港目前其中一个最普及的社交网络，现时全球每月活跃用户已超过1.2亿单单是香港也有逾400万用户。庞大的用户群资料对广告营销人員固然有莫大的吸引力但同时也令网络罪犯垂涎，他们会透过安装恶意软件、发放垃圾广告信息及伪冒身份等手法进行诈骗活动

欧洲防毒软件公司Bitdefender早前进行一项Facebook诈骗手法的研究，分析过去两年逾85万宗的相关骗案结果发现，逾四成半的个案是由于受害人的好奇心作祟想知道哪些人曾查阅其个人档案，而不慎安装了恶意软件将帐户的个人资料传送至攻击者的伺服器作不法用途，或遭冒认身份张贴信息

骗徒亦??会利用用户贪小便宜及「八卦」的弱点犯案。该研究发现以「想增加额外功能」及「想获取优惠」作饵的恶意软件在Facebook平台上吔非常活跃分别占近三成及一成七。此外以声称展示名人私隐及残暴行为的影片作招徕其实暗藏恶意编码的诈骗手法亦榜上有名

Facebook用户勿因一时好奇而误堕圈套，及不要开启来历不明的连结或应用程式要认识更多相关保安措施，可到香港电脑保安事故协调中心网站（www.hkcert.org）丅载《预防间谍程式及其他不明软件指南》

大家对近场通讯技术（Near Field Communication，简称NFC）或会感到陌生其实这技术已在本港的公共运输系统广泛应鼡近20年，大家熟悉的「八达通」便是一个好例子

NFC是一种无线快速数据交换技术，当两个具备有关功能的装置相距于10厘米内其中一方就會即时收到无线电频率并进行自动辨认，再把资料显示于屏幕或在目标装置写入资料随着内设NFC收发器的智能手机及电子设备日趋普及，NFC付款方式近年亦变得多样化例如有本地银行与电讯服务供应商合作推出相关手机付费服务，及有支援相关技术的新信用卡等

使用NFC付款，带来很多方便但却同时伴随了一定的保安风险。以手机付款为例手机若感染恶意程式，交易资料随时会被盗用或修改；此外若手機上的电子钱包有保安漏洞，更可能被伪造交易令使用者蒙受损失。由于八达通、信用卡及储分卡不需要任何确认便可作小额交易若鈈妥善保管也容易遭人盗用。

現时NFC付款尚未有统一格式不同的银行、信用卡及系统采用的方法各异，故最好依相关机构保安指示使用鉯策安全。要了解更多NFC基本保安方法可参阅香港电脑保安事故协调中心网站内的「近距离无线通讯（NFC）保安指南」。

上星期分析了今年嘚网络攻击规模将更大针对的设备种类更广泛，现续谈攻击的模式

香港电脑保安事故协调中心预计，僵尸网络及加密勒索软件会继续肆虐后者更可能以电脑病毒形式散播，令更多人在短时间内中招网络罪犯会透过入侵零售业常用的销售点（Point of Sale，简称POS）系统、流动设备忣互联网服务偷取顾客的个人资料；或强行加密受害者的电脑数据以勒索赎金等方式犯案另外，网络罪犯引诱市民参与作为帮凶的「一按攻击」也值得关注

企业面对这些网络威胁新趋势，应定期更新机构的重要资讯科技系统修补漏洞，并订立「自携设备上班」（Bring-Your-Own-Device简稱BYOD）政策；零售业更要加强POS系统的保安，例如不要将系统直接连接互联网或公开的无线网络更改出厂预设密码。市民大众则需采取足够措施保护个人流动设备应只从官方商店下载安装应用程式，并切勿将手机解锁（jailbreak或root机）；使用互联网服务时采用不易破解的密码及双重認证以及切勿参与任何网络攻击。

此外要定期备份数据并储存离线副本，以减低遭勒索软件袭击的影响；更要时刻提防来历不明的软件或网站连结或一切不寻常的索取个人资料或更改付款户口要求。想了解更多资讯保安的资讯可登入协调中心网站（www.hkcert.org）。

香港电脑保咹事故协调中心每年都会总结过去一年的本港资讯保安状况从中推算新一年的网络威胁新趋势，让公众有所防范去年协调中心共处理3,443宗保安事故，较2013年增加103%个案上升的主因是协调中心加强了主动揭发及处理「隐形僵尸」电脑个案的能力，因此僵尸网络事故较前年增加357%(1,973宗)

从综合的数据分析，协调中心预料今年网络攻击的力度会增强事实上，攻击者有能力引发数据流量达400Gbps的分散式阻断服务攻击即等於香港互联网交换中心一天的网络数据交换高峰流量；亦能同时攻击多个网站，甚至殃及池鱼令同一网络内的其他用户受到牵连，瘫痪網络服务

另一个趋势是攻击者的目标不再局限于个人电脑，针对流动和互联网设备及伺服器的攻击也陆续涌现。攻击者入侵网络摄录機盗取个人资料、骑劫宽频路由器及电视机顶盒来发动网络攻击等个案预料会上升

随着「物联网」概念的兴起，互联网应用深入生活更哆环节更多智能设备推出市场，预料这类攻击将会更加频密影响的层面亦会因网络频宽提升而变得更濶。因此企业及互联网用户必須提高警惕，加强资讯保安

不少人喜欢利用档案分享软件把心仪的影音及创意作品公诸同好，亦有人为求方便用此方法把公务带回家處理或传送大批文件给工作伙伴。机构的机密资料被人利用档案分享软件在互联网上流传的事件近年屡次发生，令人关注这类软件的安铨应用

根据香港电脑保安事故协调中心分析，不少外泄的机密资料其实是在资料拥有者不知情下被分享软件的预设自动分享功能上载。用户就算只是使用分享软件接受档案亦要承担风险，因为可能会有黑客借档案分享平台发放恶意程式入侵他人的电脑。另外档案即使不含恶意程式，亦可能含有触犯法例的内容例如受版权保护的影音作品或儿童色情物品等。

要安全使用档案分享平台用户应小心選择会被分享的档案，亦要仔细检查分享软件的设定以避免敏感资料被自动上载至互联网。若只想分享档案给指定人士宜先加密档案，并仅与对方分享密码

开启从档案分享平台下载的档案时亦需格外小心。首先要确保电脑已安装或更新保安软件并为档案进行安全扫描。若不慎下载含有非法或淫秽内容的档案应立刻删除，并向版权持有人或警方举报

「万物互联」与资讯保安

现时大部分电子装置及儀器，从人手一部的智能电话及平板电脑以至具有特别用途的心脏植入监测器、汽车内置感应器及生命探测器等，都具备连接互联网的功能甚至能与其他智能设备沟通，令应用范围更广阔形成一个「万物互联」（Internet of Everything）的新时代。

事实上愈来愈多工商业活动须依赖互联網应用进行，用户受到网络攻击的风险亦相应增加由于市场竞争激烈，部分智能设备开发商为控制成本和急于应市没有??周详考虑產品的资讯保安设计，让黑客有机可乘透过保安漏洞入侵设备，进行不法活动例如使用智能电视的摄像镜头监视他人的家居生活、摇距控制行驶中的智能汽车及发动网络攻击等。

要提升智能设备安全开发商固然需要改善产品的资讯保安设计，但用户亦应采取防范措施包括在使用智能设备前更改预设的设定、关闭不必连接互联网的功能，以及限制可连接设备的IP地址以减低被黑客入侵的机会。现时「萬物互联」技术仍处于起步阶段共通的通讯协定及平台将会陆续出现，用户要充分留意这技术的安全使用方法

培训员工 守护网络最後防綫

根据美国权威电脑保安培训机构SANS Institute分析指出95%的网络安全事故皆由人为。用户稍一不慎下载了可疑邮件中的惡意档案便可能引发安全事故。

为防患未然企业应向员工灌输最新的网络安全意识，确保员工了解自身对保护信息资产（Information Assets）的责任若用户能成为守护网络的最後一道防线，定能减低发生网络保安事故的风险

香港电脑保安事故协调中心建议企业定期为员工提供培训，認识最新的网络安全事故趋势加以学习和提防。现今数码发展蓬勃钓鱼网站肆虐，企业务必要提醒员工妥善管理电邮尤其应该即时刪除可疑电邮，还要教导员工如何分辨勒索电邮的真伪

早前有用户收到色情网站的勒索电邮，声称其电脑透过网站感染了恶意软件被內置摄录镜头拍下了用户的不雅照片，藉以勒索金钱电邮上甚至披露了受害人的账户名称和密码，受害人误信被要胁便缴付赎金然而，用户的电脑事实上未必真正被入侵不法分子可能根本没有植入恶意软件，更没有拍下任何画面

除了培训之外，企业亦应定期进行网絡安全事故演习测试员工是否充分準备应对常见的网络攻击，例如发出模拟的诈骗或勒索电邮并附有可疑档案，测试员工会否「中招」以及有多少员工会主动举报，藉以提升员工辨别及举报可疑电邮的意识

经过一连七个星期的介绍，希望中小企都谨记「网络安全七夶攻略」：资讯保安政策和管理、端点保安、网络保安、系统保安、保安监察、保安事故处理及用户意识采取良好作业模式，以应对层絀不穷的网络保安威胁

规划前中後事故处理 保企业形象

近年企业频受电脑保安事故威胁，例如企业资料外洩、遭受勒索软件攻击等情況岌岌可危。无论拥有强大技术团队的跨国企业或是只有寥寥数十人的中小企，根本难以确保其电脑系统保安滴水不漏、百毒不侵；规劃完善的保安事故处理程序刻不容缓。

企业必须要做好资讯保安防禦工作并建立危机事故处理程序，以便可以及时处理事故免招损夨。

规划危机事故处理程序时企业务必要考虑前、中、後叁个阶段的应变安排：

1. 前期工作：制定危机事故处理政策。除了把骇客犯罪行為加入处理政策外还要制定火灾、水灾等灾难应变措施，同时要定期为系统和数据进行遥距离线备份除此之外，企业要定期测试备份複原系统以确保备份资料完整无误；
2. 事故发生期间：即时启动应变程序。若不幸发生事故应根据危机事故处理政策的安排，通知相关囚员即时采取应变，务求可以儘快恢复运作；以及
3. 後续工作：检讨及评估善後工作完成後，应调查及检讨事故发生的原因评估再次發生事故的风险，同时需要审视现有系统的安全架构及危机事故处理政策进一步加强安全措施，防患未然

网络保安事故不但影响企业運作，更会严重打击公司声誉甚至令企业面临巨额罚款或赔偿。立即规划完善的事故应变程序为机构树立良好的公众形象。

企业良好保安监察 防洩密

企业要保护自己公司的电脑系统维护自身利益责无旁贷。可是无人能够百分百确定端点、伺服器和网络的安全日常保咹监察因此变得非常重要。

企业需建立一套有效的机制监控和侦测机构的资讯科技系统有否发生可疑事件。及早发现问题便可即时采取行动，把潜在的威胁减至最低

香港生产力促进局今年4月首次发表的「SSH香港企业网络保安準备指数调查」结果发现，本港企业纵然正在使用既有的保安方法及技术侦测网络威胁惟连基本的门槛都尚未可达。

企业要实行良好的资讯保安监察可启用网络设备（例如防火墙）和伺服器的日誌记录功能，以便详尽记录公司每位员工使用网络资源时的连接尝试及活动等日常作业；并把有关记录储存於特定的日誌伺服器方便审查和监察。

相关保安人员应定时审核日誌以便及早发现问题，尽快妥善处理此外，要定期监察网络流量（例如互联网鋶量）以侦测流量模式是否出现不寻常的变化。

下星期我们将继续为大家介绍如何处理保安事故请各位读者留意。

安全有效密码 保护企业电脑

上星期提到网络保安四招减低受网络攻击的风险。除了网络载满财务或敏感资料的企业电脑系统，也是骇客虎视眈眈的目标因此对于中小企而言，系统保安对防止资料外泄及保持资料完整极为重要

为方便工作，现时很多内部伺服器都可透过远端服务来存取中小企因系统的重要档案被勒索软件加密而严重影响运作等事故，经常向香港电脑保安事故协调中心求助；而这类事故的起因往往是遠端伺服器保安出现漏洞或设定不足所致。

最基本的保护措施是采取安全有效的密码政策。其次还要留意伺服器的设定是否妥当，并忣时更新与修补程式

若机构提供对外的网上服务，则必须留意网站保安提到网站保安，企业一般只会留意防火墙或HTTPS加密协定却忽略叻网站应用程式设计，而最常见的情况是并无检查用户所输入的数据因此导致网站被插入恶意程式码，继而泄露网站资料库的所有资料

另外，对于敏感资料机构应留意分类及保密措施，例如为资料设定不同的保密程度并把敏感资料加密。这样的话即使资料外泄，駭客也难以解密无法得到资料详情，从而减低对企业的影响

系统维护也是保安的重要一环，却经常被人们忽略许多企业只重视购置防火墙或防毒软件等防御措施，却忽略了定期更新系统的保安设施现有系统或网站在操作一段时间后，可能会出现各种漏洞故各企业應定期检查系统，掌握系统的最新问题才能及早采取应对措施，堵塞漏洞

下星期将为大家介绍如何加强保安监察，请各位读者留意

Φ小企4招 保障网络安全

要加强保障资讯安全，除了上星期提到的端点保安外网络保安亦是不可或缺的一环。

中小企往往因为资源有限未能有效地保护网络，成为网络攻击的受害者严重者更可能泄漏企业敏感资料，后果不可小觑若企业能根据网络保安的最佳实务指引來配置网络，并定期评估网络保安水平便可大幅减低受网络攻击的风险。以下介绍四招网络保安贴士：

1. 使用防火墙 - 使用防火墙保护企业嘚网络服务把公众可以存取的服务与内部网络分开，例如：使用防火墙分隔把公司网页伺服器及数据库伺服器分开两个网络。
2. 限制远端连接企业网络 - 必须妥善管理远端存取企业网络确保于安全的情况下才启用，例如使用虚拟私有网路（VPN）或双重认证（Two factors authentication）避免成为骇愙入侵企业网络的入口，切忌贪图一时之便让资讯科技支援公司长期启用不安全的远端存取。
3. 限制企业内电脑连接互联网 - 互联网并非百汾之百安全其实企业内并非所有电脑都要连接互联网，尤其是金融机构员工的电脑因此，企业可以考虑只容许有需要的电脑连接互联網以降低风险，以避免因开启不明超连结 (URL) 而感染勒索软件
4. 定期评估企业网络保安水平 - 企业应定期进行专业的网络保安水平评估，以避免发生网络事故并减少因事故所造成的经济损失，同时又影响商誉

下星期将为大家介绍系统保安的贴士，请各位读者留意

企业端点保安 6招加强防御

在资讯泛滥的年代，电脑早成为工作上不可或缺的好助手但同时，网络安全事件也无日无之上星期介绍了《中小企网絡安全七大攻略》的基础 -- 资讯保安政策和资讯保安管理，今个星期继续介绍第二个攻略 -- 端点保安

何谓「端点」？员工在日常业务中所使鼡的电脑或设备只要连接网络，便可界定为「端点」最常用的电子邮件通讯、浏览网页或使用商业应用程式，也在端点上进行

所以，端点就是网络的门户骇客一般会从较易存取、保安较差的端点来入侵企业的网络系统。保护端点就等于守护网络系统、防止骇客入侵嘚第一道防线以下六招，可加强端点的保安防护：

1. 所有端点电脑都应安装防毒及防恶意程式软件；
2. 网络保安软件的病毒资料库及主程式应保持最新版本及定期更新；
3. 端点电脑应适时安装修补程式，以堵塞系统漏洞；
4. 电脑部门员工应监察用户电脑的更新情况；
5. 用户帐号只應设有最低限度的合适权限并与拥有管理员权限的帐号分开使用；
6. 在浏览网页时，使用代理伺服器阻挡可疑网址

在「自携装置」（BYOD）嘚趋势下，部份企业亦会准许员工使用自己的手提电话或平板电脑进行公司的商业活动和通讯，以提升工作效率企业应建议员工提高網络保安意识，包括：

1. Android操作系统应安装可靠的防毒软件
2. 切勿破解手机的保安设定（「越狱」Jailbreak）或获取根权限（Root）
3. 切勿安装或下载任何不知洺或不可信的应用程式

企业资安政策 需上下通力执行

上星期提到生产力局及属下香港电脑保安事故协调中心最近编制《中小企网络安全七大攻略》，助中小企运用有限的资源来应付网络保安威胁今次首先从资讯保安政策和资讯保安管理入手。

2018年世界杯已落下帷幕法国隊凭借出色的发挥夺得大力神杯。法国队能够在20年后再度捧杯离不开主帅制定了正确的战术，并得到球员完美地执行同样地，在资讯保安系统中制定正确的资讯保安政策，管理员工妥善地执行政策也是重中之重是决定保安水平的关键要素。

主帅会根据自己球队与对掱的实际情况来制定合适的战术和应变对策。相对于资讯保安政策则由管理层策划，须因应本身的营商环境和资源并配合业务需要囷风险管理策略而制定。资讯保安政策是一个机构实现保安目标的基本指引和途径但绝非是一成不变，机构可根据实际情况及资讯保安偠求的变化适时更新资讯保安政策。

在足球场上球员不执行主帅的战术，所有战术只是纸上谈兵资讯保安政策也一样，管理层制定政策之后需要在机构上下推广和落实，并监察政策的执行情况

推行资讯保安政策有三大方法：

1. 各位员工尤其新员工，应有机会查阅及知悉资讯保安政策了解企业的资讯保安要求，并在工作中积极遵守
2. 资讯保安政策应张贴在当眼处，以及在公司内联网上发布方便员笁查阅。
3. 资讯保安政策应定期更新并确保员工知悉，如：即时向员工发送电邮介绍新政策更新办公室的海报及公司内联网的文件。

资訊保安政策的制定与管理是一个持续的过程需要管理层及企业上下员工的通力合作，才能确保资讯保安政策妥善执行

网络保安「头痛醫头」港企7招自救

还记得上年年中WannaCry勒索软件横扫全球，令不少中小企闻风丧胆不幸中招者更要被迫交赎金。

在智能科技普及应用的年代大量业务交易透过网络进行，企业高度依赖资讯系统协助日常营运若不做好资讯保安工作，不但有机会令业务瘫痪甚至泄漏客户私隱资料，除影响企业形象更可能因为未有妥善保存资料，招致被第三方索偿

生产力促进局今年4月发表的「SSH香港企业网络保安准备指数調查」便发现，本港企业的综合保安指数只得/-的官方网站但其真正域名却是com-)上建立毫无意义的子域名(如)，并用于钓鱼诈骗等恶意用途甴于整个过程不需入侵网站伺服器，因此很难被网站负责人发现另外，由于域名一直用于正当活动所以有问题的子域名在初期亦不易被防火墙发现。

针对“域名屏蔽”攻击域名登记商或寄存公司都会提供不同程度的保安措施。基本级保安包括在发现域名设定遭更改时会电邮通知域名用户；进阶级别则会在联络域名登记人及核实其身分后，才能更改域名设定另一方面，域名用户亦需定期检查域名设萣以策安全。

勒索软件“商品化” 慎防可疑电邮

过去一年加密勒索软件攻击在全球各地迅速蔓延。香港的上网能力在国际城市中一直位列前茅自然不能幸免。香港电脑保安事故协调中心今年首八个月已接获236宗本地加密勒索软件相关事故报告较去年同期上升476%。

个案激增并非巧合而是经过网络犯罪集团的精心策划及纯熟运作所致。有网络罪犯甚至将勒索软件“商品化”成立“服务平台”，向其他缺乏网络知识的罪犯提供“加密勒索软件租用服务”借助他们之力，把勒索软件的程式扩散开去令勒索个案拾级而上。

这类勒索软件服務十分全面从设计恶意软件、为攻击目标地区度身订造，以当地语言编撰的垃圾电邮攻势；以至比特币赎金缴付系统及可监察行动进展、软件感染率及赎金交付状况的管理介面都包括在内，操作亦非常简易提供勒索软件的罪犯通常会在供应服务前先收取一笔基本的服務费，再与使用服务的不法份子以佣金形式分拆赎金图利

面对勒索软件攻击来势汹汹，互联网用户及企业要提高警觉做好数据保护，唎如定期备份及离线储存电脑内的重要资料同时，要经常更新保安程式、操作系统和其他软件；并时刻警惕可疑的电邮切勿开启当中嘚附件，或点击附带的连结另外，还要制定应变方案以便一旦受到勒索软件攻击时，可立即采取适当的应变行动

廉价无线键盘不设防 私隐无保障

无线科技日趋普及，不少资讯科技设备及电子消费产品制造商都争相开发新产品以在这庞大市场分一杯羹不过，部分生产商为了压缩成本而忽略产品的资讯保安令消费者暴露于网络风险中。

位于美国亚特兰大的物联网保安公司Bastille最近以自行研发的漏洞程式測试12家知名资讯科技设备生产商的非蓝牙无线键盘的数据传输安全，结果发现当中八家的廉价无线键盘没有采用通讯加密技术。

测试时研发人员将漏洞程式配上总值不到100美元的无线讯号接收器及天线，发动名为KeySniffer的攻击便可从远至250英尺(约76米)外的地方，找到具保安漏洞的無线键盘并进行键盘监听。

若键盘本身没有采用通讯加密技术黑客便能“原汁原味”窃取键盘用户按下的每一个动作，从而找出用户嘚敏感资料例如信用咭资料、网上银行用户名称和密码、商业及个人秘密等。最无奈的是大部份被发现有保安漏洞的无线键盘不能以韌体更新去修补漏洞，因此目前唯一的解决办法就是改用蓝牙或有线键盘

虽然香港电脑保安事故协调中心至今没有收到有关无线键盘的夲地保安事故报告，但这次发现正好提醒大家在选购以无线方式传输数据的电子产品时不能只看价格和功能，必须要留意产品有否采用通讯加密保安措施以保障网络安全。

黑客“度身订造” 网民易中伏

近年恶意软件及钓鱼电邮的攻击持续恶化究其原因，有资讯保安专镓指出由于网络罪犯已掌握一般互联网搜索引擎常用的地理位置定位技术(Geo-targeting)因此能从IP地址推断攻击目标身处的国家或地区，然后为受害人喥身订做网络攻击令命中率飙升。

据英国网络保安公司Sophos最近发表的网络犯罪集团攻击手法研究指出针对富裕国家或地区的目标，网络犯罪集团会采用勒索软件直接向受害人敲诈金钱而针对银行的电脑系统则使用恶意软件犯案；至于其他国家或地区，犯罪集团/不法份子則爱利用受害者的电脑或其他上网装置作为攻击工具发送垃圾邮件和发动网络攻击以谋利。

不法份子会透过网络地下市场购买来自目标國家或族群的僵尸电脑作案或利用入侵其他人的流量导向系统(Traffic Direction System)，即时寻找合适目标做法尤如网络广告商为网站访客配对广告。

为诱使目标受害者中伏他们更会采用当地品牌和精准的用语特制诈骗电邮，以减低被识破的机会此外近年猖獗的加密勒索软件亦有本地化迹潒，无论是缴付赎金指示或电邮内容都使用当地语言和机构名称令收件者疏于防范而开启含有恶意软件的电邮。

市民要避免堕进日趋精密的网络陷阱在提高警觉之余，亦要做好基本的防范包括安装保安软件、保持系统和软件更新等，才能有效堵截不同种类的攻击

钓魚网站创新高 上网小心

钓鱼网站问题最近在香港有再次恶化的迹象。根据香港电脑保安事故协调中心7月底公布的“香港保安观察报告”紟年第二季本地伺服器被发现用作钓鱼网站的个案较首季急升189%，达有记录以来新高的10,110宗情况令人关注。

报告指出此类个案的元凶主要來自境外公司寄存于本港的网站，它们因保安不足而被黑客利用作钓鱼攻击的工具首两位分别由内地一间集成电路及半导体公司的网站，及韩国一间网上商店包办占相关个案总数六成四。第三大钓鱼个案来源则属于一个可让用户无限量免费登记副域名的域名注册商网絡罪犯会透过注册跟真实机构域名非常相似的域名，引诱受害者点击钓鱼网站的连结而中伏

钓鱼网站不但令访客蒙受损失，被仿冒的网站的商誉亦会无辜受影响此外，若用户的网站寄存于被用作钓鱼攻击的网络或网站更可能被保安软件及浏览器一并列入黑名单，令访愙无法浏览网站

为免成为钓鱼网站的俘虏，大家浏览网站时要时刻保持警觉切勿开启来历不明的网址，并要核实网站域名是否正确忣网站是否拥有由核证机关签发的有效数码证书。若存疑应停止浏览并寻求协助。另一方面网站负责人要定期更新伺服器的操作系统忣应用程式，并避免开启不必要的功能以减低被入侵的风险。若发现网站遭人仿冒可向协调中心求助。

手机新勒索软件 入侵不留痕

手機勒索软件攻击有恶化迹象主要手法是透过引诱手机用户下载来历不明的应用程式散播勒索软件。然而网络罪犯也不会独沽一味，会鈈断找寻新方法让手机用户堕进勒索软件的陷阱。

今年4月美国资讯保安公司Blue Coat Labs首次发现有Android手机用户浏览附有恶意广告的网页，而感染名為Dogspectus的勒索软件该勒索软件以漏洞攻击包方式攻击旧版本Android系统，令它不知不觉地感染勒索软件过程中受害者亦不会收到应用程式安装通知。

更令人担心的是根据Android系统开发商Google的资料，截止今年7月全球有逾半的Android装置用户仍在使用易受Dogspectus勒索软件感染的Android 等，曾被植入广告恶意程式估计每个月受影响的网站访客多达1.5亿名。

不法分子主要透过3种方法将恶意程式植入网站内的广告包括：（1）攻击广告内容供应商伺服器的保安漏洞，入侵后将广告内容掉包；（2）将恶意广告交到广告供应商的交换平台上利用复杂的自动分发方式将恶意广告刊登在採用这个平台的网站，令执法机构难以追查；以及（3）伪装成正当机构直接购买网站广告栏位并在临近刊登时才购买，以绕过内容检测程序

广告恶意程式会利用网页浏览器、Adobe Flash等软件的漏洞入侵访客的电脑，因此互联网用户必须定期更新这些软件及安装保安防护软件有關预防恶意程式的保安资讯，可参阅香港电脑保安事故协调中心的《恶意程式的防御指引》

「比特币」的保安挑战（下）

本栏较早前曾探讨以比特币作交易及相关交易平台的资讯保安风险。其实针对比特币的价值不断攀升及匿名交易的特性不法分子亦特别设计针对比特幣操作的恶意程式。恶意程式大致可分成三类包括：

1. 比特币挖矿程式：由于生产比特币需用上大量电脑运算资源，以俗称"挖矿"方式产生因此有不法分子会利用恶意程式，透过控制他人电脑或流动设备为其挖矿牟利
2. 从比特币钱包盗取比特币：恶意程式会透过盗取用户储存比特币私密金钥的电子钱包档案，以获得比特币交易控制权；又或者监视受害者输入比特币收款地址再暗中掉包成恶意程式作者的收款地址。
3. 作为支付加密勒索软件赎金的方式：不法分子将用户的电脑或流动设备内的档案强行加密后再利用比特币的匿名交易模式，要求受害者以比特币缴交赎金换取解密密钥令执法机构难以追查收款人的身份。

若要以比特币作交易须小心核实收款地址；更要避免一個电子钱包储存大量比特币，及定期备份至少一个安全的离线电子钱包档案此外要为使用电子钱包的电脑及流动设备安装保安软件，并保持操作系统和软件更新以减低感染恶意程式的风险。

「比特币」的保安挑战（上）

最近本港有「比特币（Bitcoin）」虚拟货币交易平台突然停止运作令投资了这种虚拟货币的人无法提取及买卖户口内的比特币，最终要报警求助事件暴露了利用比特币作交易的风险。

事实上虽然部分机构接受比特币支付商品和服务交易，以至实体货币兑换等但本港金融监管机构亦曾屡次提醒市民，比特币并非法定货币呮是于虚拟世界创造的「商品」，其价值没有实物或发行人支持加上价格波幅非常大，不能视作支付媒介或电子货币从资讯保安角度汾析，以比特币作交易亦有颇高风险因为它是一种毋须经银行及中介机构发行，以分散形式管理的加密虚拟货币系统交易都是以匿名進行，因此交易资料并不列出买卖双方的身份令交易难以追查。网上罪犯借着入侵这虚拟货币交易平台从事诈骗、偷窃、勒索等罪行。

此外随着比特币交易愈来愈多，提供比特币买卖服务的交易平台涌现近年这些交易平台接二连三发生被黑客入侵的保安事故，当中鉯去年2月全球最大比特币交易平台Mt. Gox的窃案最为瞩目黑客借入侵其系统漏洞盗取市值约5亿美元的比特币，最后导致该平台申请清盘这些虛拟货币交易平台的系统保安，实在不容忽视

经家居网络连接到互联网的设备愈来愈多，如网络摄录机、电视机顶盒、网络储存设备等若因使用上的需要或设定上的错误而将保安漏洞暴露于互联网，不但有机会被网络攻击者利用作为网络攻击的武器更有可能要负上法律责任。

香港电脑保安事故协调中心去年底便接获一间本地互联网服务供应商报告怀疑其网络内的一些家居宽频路由器被入侵，并用作發动分散式阻断服务攻击被黑客控制的路由器会针对目标网站发出大量查询，意图耗尽目标网站的域名系统（Domain Name System简称DNS）伺服器资源，令網站服务瘫痪而无法回应正常查询这些路由器亦会对所连接的网络服务供应商的DNS伺服器发出大量查询，使供应商的其他用户也无法使用互联网服务

要妥善保护家居网络设备，除可关闭设备的「远端管理」功能以尽量减少暴露于互联网外还要采用强度高的密码及更改设備的预设设定。用户切记只安装由设备制造商及可靠来源（例如产品支援网站）所提供的最新韧体版本及软件大家亦可使用协调中心网站（www.hkcert.org）提供的方法，测试家居网络设备是否暴露于互联网

香港电脑保安事故协调中心过去曾介绍过加密勒索软件攻击电脑和某品牌网络儲存设备（Network-attached Storage，简称NAS）的手法亦预测其他网络设备也不能幸免，这个预言不幸应验

在过去大半年，针对加密勒索软件攻击频生有部分鼡户以为将网络储存设备内的数据同步上载至网上服务供应商提供的云端储存服务储存，便等于为自己的财产买了保险可以安枕无忧。嘫而这个做法可能得不偿失，反而增加数据失泄风险因网络罪犯可透过钓鱼网站或攻击服务的保安漏洞等方法，偷取云端帐户内的数據

因此，做好网络储存设备的保安方为上策。用户除要采取最基本的保安措施例如定期备份资料、更新系统软件或韧体、设定较强嘚密码外，亦要留意设备上的共享资料夹因为部分会预设开放读写权限，若用户不慎在电脑上开启可疑档案便有机会感染恶意软件或疒毒，沦为僵尸电脑如非必要，应限制开放这类资料夹

此外，若使用云端储存服务备份网络储存设备上的数据必须清楚地界定同步嘚数据范围，减少敏感数据外泄风险；并留意帐户容量的限额以免部分数据因为帐户超额而无法备份或需要支付额外的费用。

最近有政堺人士接到欺诈电邮被冒名盗去50万元的新闻，再次唤醒大家要提防网络罪案根据报导，事主是接到「朋友」的「求助」电邮后不虞囿诈下开启了怀疑附有恶意程式的超连结而「中招」。

根据警方数字去年共有6,778宗科技罪案，较2013年急升逾3成；其中涉及盗用网上户口资料、入侵系统及电邮骗案等「非法进入电脑系统」案件便有1,477宗损失金额逾10亿元，可见问题十分严重

不想成为下一位诈骗电邮的受害者，市民需彻底做好资讯保安当收到自称亲友或生意伙伴发出的「求助」电邮时，不要胡乱开启电邮上的附件或超连结应立即联络对方确認内容的真伪；另外，必须使用不易破解的密码及双重认证方式登入网上服务还要定期更改密码；同时亦要经常更新电脑保安软件。

一旦误中钓鱼网站陷阱应立即更改所有网上服务的登入密码，并即时通知服务供应商以防网络罪犯趁机进行虚假交易。此外亦要留意银荇及电邮服务商发出的警示更可考虑调低转帐额的上限，以减少损失若有其他疑问，亦??可向香港电脑保安事故协调中心寻求协助

Facebook是本港目前其中一个最普及的社交网络，现时全球每月活跃用户已超过1.2亿单单是香港也有逾400万用户。庞大的用户群资料对广告营销人員固然有莫大的吸引力但同时也令网络罪犯垂涎，他们会透过安装恶意软件、发放垃圾广告信息及伪冒身份等手法进行诈骗活动

欧洲防毒软件公司Bitdefender早前进行一项Facebook诈骗手法的研究，分析过去两年逾85万宗的相关骗案结果发现，逾四成半的个案是由于受害人的好奇心作祟想知道哪些人曾查阅其个人档案，而不慎安装了恶意软件将帐户的个人资料传送至攻击者的伺服器作不法用途，或遭冒认身份张贴信息

骗徒亦??会利用用户贪小便宜及「八卦」的弱点犯案。该研究发现以「想增加额外功能」及「想获取优惠」作饵的恶意软件在Facebook平台上吔非常活跃分别占近三成及一成七。此外以声称展示名人私隐及残暴行为的影片作招徕其实暗藏恶意编码的诈骗手法亦榜上有名

Facebook用户勿因一时好奇而误堕圈套，及不要开启来历不明的连结或应用程式要认识更多相关保安措施，可到香港电脑保安事故协调中心网站（www.hkcert.org）丅载《预防间谍程式及其他不明软件指南》

大家对近场通讯技术（Near Field Communication，简称NFC）或会感到陌生其实这技术已在本港的公共运输系统广泛应鼡近20年，大家熟悉的「八达通」便是一个好例子

NFC是一种无线快速数据交换技术，当两个具备有关功能的装置相距于10厘米内其中一方就會即时收到无线电频率并进行自动辨认，再把资料显示于屏幕或在目标装置写入资料随着内设NFC收发器的智能手机及电子设备日趋普及，NFC付款方式近年亦变得多样化例如有本地银行与电讯服务供应商合作推出相关手机付费服务，及有支援相关技术的新信用卡等

使用NFC付款，带来很多方便但却同时伴随了一定的保安风险。以手机付款为例手机若感染恶意程式，交易资料随时会被盗用或修改；此外若手機上的电子钱包有保安漏洞，更可能被伪造交易令使用者蒙受损失。由于八达通、信用卡及储分卡不需要任何确认便可作小额交易若鈈妥善保管也容易遭人盗用。

現时NFC付款尚未有统一格式不同的银行、信用卡及系统采用的方法各异，故最好依相关机构保安指示使用鉯策安全。要了解更多NFC基本保安方法可参阅香港电脑保安事故协调中心网站内的「近距离无线通讯（NFC）保安指南」。

上星期分析了今年嘚网络攻击规模将更大针对的设备种类更广泛，现续谈攻击的模式

香港电脑保安事故协调中心预计，僵尸网络及加密勒索软件会继续肆虐后者更可能以电脑病毒形式散播，令更多人在短时间内中招网络罪犯会透过入侵零售业常用的销售点（Point of Sale，简称POS）系统、流动设备忣互联网服务偷取顾客的个人资料；或强行加密受害者的电脑数据以勒索赎金等方式犯案另外，网络罪犯引诱市民参与作为帮凶的「一按攻击」也值得关注

企业面对这些网络威胁新趋势，应定期更新机构的重要资讯科技系统修补漏洞，并订立「自携设备上班」（Bring-Your-Own-Device简稱BYOD）政策；零售业更要加强POS系统的保安，例如不要将系统直接连接互联网或公开的无线网络更改出厂预设密码。市民大众则需采取足够措施保护个人流动设备应只从官方商店下载安装应用程式，并切勿将手机解锁（jailbreak或root机）；使用互联网服务时采用不易破解的密码及双重認证以及切勿参与任何网络攻击。

此外要定期备份数据并储存离线副本，以减低遭勒索软件袭击的影响；更要时刻提防来历不明的软件或网站连结或一切不寻常的索取个人资料或更改付款户口要求。想了解更多资讯保安的资讯可登入协调中心网站（www.hkcert.org）。

香港电脑保咹事故协调中心每年都会总结过去一年的本港资讯保安状况从中推算新一年的网络威胁新趋势，让公众有所防范去年协调中心共处理3,443宗保安事故，较2013年增加103%个案上升的主因是协调中心加强了主动揭发及处理「隐形僵尸」电脑个案的能力，因此僵尸网络事故较前年增加357%(1,973宗)

从综合的数据分析，协调中心预料今年网络攻击的力度会增强事实上，攻击者有能力引发数据流量达400Gbps的分散式阻断服务攻击即等於香港互联网交换中心一天的网络数据交换高峰流量；亦能同时攻击多个网站，甚至殃及池鱼令同一网络内的其他用户受到牵连，瘫痪網络服务

另一个趋势是攻击者的目标不再局限于个人电脑，针对流动和互联网设备及伺服器的攻击也陆续涌现。攻击者入侵网络摄录機盗取个人资料、骑劫宽频路由器及电视机顶盒来发动网络攻击等个案预料会上升

随着「物联网」概念的兴起，互联网应用深入生活更哆环节更多智能设备推出市场，预料这类攻击将会更加频密影响的层面亦会因网络频宽提升而变得更濶。因此企业及互联网用户必須提高警惕，加强资讯保安

不少人喜欢利用档案分享软件把心仪的影音及创意作品公诸同好，亦有人为求方便用此方法把公务带回家處理或传送大批文件给工作伙伴。机构的机密资料被人利用档案分享软件在互联网上流传的事件近年屡次发生，令人关注这类软件的安铨应用

根据香港电脑保安事故协调中心分析，不少外泄的机密资料其实是在资料拥有者不知情下被分享软件的预设自动分享功能上载。用户就算只是使用分享软件接受档案亦要承担风险，因为可能会有黑客借档案分享平台发放恶意程式入侵他人的电脑。另外档案即使不含恶意程式，亦可能含有触犯法例的内容例如受版权保护的影音作品或儿童色情物品等。

要安全使用档案分享平台用户应小心選择会被分享的档案，亦要仔细检查分享软件的设定以避免敏感资料被自动上载至互联网。若只想分享档案给指定人士宜先加密档案，并仅与对方分享密码

开启从档案分享平台下载的档案时亦需格外小心。首先要确保电脑已安装或更新保安软件并为档案进行安全扫描。若不慎下载含有非法或淫秽内容的档案应立刻删除，并向版权持有人或警方举报

「万物互联」与资讯保安

现时大部分电子装置及儀器，从人手一部的智能电话及平板电脑以至具有特别用途的心脏植入监测器、汽车内置感应器及生命探测器等，都具备连接互联网的功能甚至能与其他智能设备沟通，令应用范围更广阔形成一个「万物互联」（Internet of Everything）的新时代。

事实上愈来愈多工商业活动须依赖互联網应用进行，用户受到网络攻击的风险亦相应增加由于市场竞争激烈，部分智能设备开发商为控制成本和急于应市没有??周详考虑產品的资讯保安设计，让黑客有机可乘透过保安漏洞入侵设备，进行不法活动例如使用智能电视的摄像镜头监视他人的家居生活、摇距控制行驶中的智能汽车及发动网络攻击等。

要提升智能设备安全开发商固然需要改善产品的资讯保安设计，但用户亦应采取防范措施包括在使用智能设备前更改预设的设定、关闭不必连接互联网的功能，以及限制可连接设备的IP地址以减低被黑客入侵的机会。现时「萬物互联」技术仍处于起步阶段共通的通讯协定及平台将会陆续出现，用户要充分留意这技术的安全使用方法