Youthlaw
青法網熱線

星期一至六
早上10時至凌晨2時
星期日及公眾假期休息
 
電話:8100 9669
index
最新消息


09 / 09 / 2017

Google大力推行HTTPS,不單止會係Chrome網址列側寫明HTTPS網站為「安全 Secure」,更會提高它們在搜尋結果中的排名—— 不過HTTPS又能否保證網站完全安全?其實又未必!


什麼是「綠鎖」?

「綠鎖」是瀏覽器Google ChromeFireFoxHTTPS政策。由今年1月起,如果你的網站已採用HTTPS加密通訊,Google Chrome的使用者將會看到你的網址列側標誌著綠色的「安全 Secure」;相反,如果你的網站安全性較低,你的網址會被標示為灰色「!」,更甚者,如果你的網站需要使用者輸入密碼或信用卡資訊,卻沒有採用HTTPS加密通訊,Google Chrome則會為你打上「Not Secure不安全」的標記。FireFox的標準和處理手法亦類似。

HTTPS有什麼要求?

網站需要申請安全性憑證 SSL (Secure Sockets Layer),才可以擁有HTTPS。此憑證是由憑證授權單位 (CA) 所核發,它是評估網頁伺服器和瀏覽器之間傳輸資料過程的安全技術標準,確保網站和用戶(end user)的溝通過程中有採取加密措施,防範「中間人攻擊」和第三方監控。

理論上,HTTPS的確可以協助用戶選用更安全的網站。不過我們需留意,所謂「安全」只是指數據傳輸過程夠安全,而不是指該網站的設計和用途是安全的!SSL並不能證實網站有否遭受「網頁竄改」(Web Defacement)」、SQL Injection或惡意廣告等攻擊,或證實網站有使用足夠的保安措施保護資料庫。早前有研究人員更發現,不少釣魚網站以內含 PayPal的域名成功申請SSL,挾HTTPS之名魚目混珠。

只有寫清楚 PayPal, Inc. [US] 的網站才是得到認証的真正PayPal網站,右面寫上 Secure的網站雖有HTTPS,但卻是釣魚網站,目的是騙取你的帳戶資料!因此即使網站有HTTPS,用戶一樣要提高警覺!

撰文:網絡保安專家 范健文先生

04 / 09 / 2017

我有拖延症嗎

26 / 08 / 2017

發現吸毒

24 / 08 / 2017

別相信任何人:選民資料外洩有咩要驚?

選舉事務處在今屆特首選舉期間遺失兩部電腦,內藏全港378萬地方選區選民的姓名、地址及身份證號碼,當局暫時未有解決方法,只強調資料已被多重加密,罪犯很難破解。金管局又大派定心丸,指單憑該等資料不能使用網上銀行服務,電話銀行亦需要用戶回答額外的保安問題,理論上還是安全的。不過實際真的如此嗎?罪犯真的會天真地憑着上述三項資料,直接致電銀行辦轉賬?

社交工程(Social Engineering)套取密碼

罪犯的犯罪手法當然不會這樣直接,假設對方成功解密,與其打草驚蛇直接聯絡銀行,倒不如放長線釣大魚。他可以運用這些資料向銀行以外的服務供應商埋手,找出目標的電郵、電話、社交媒體賬號等資料;又可以域名查冊服務Whois逆向搜尋,以登記者姓名查找名下的網站及相關公司名,為下一步的攻擊行動做準備。然後他可以裝作你的服務供應商或網購網站,向你發出針對性的釣魚電郵,附上釣魚網站的連結,吸引你點擊並輸入真實的用戶憑證 ……這種手法統稱為「社交工程」,不需要太精密的科技,罪犯一樣可以利用人的心理攻其不備。

著名資訊安全公司Kaspersky Lab上月剛發布2016年金融機構保安風險報告,顯示有75%電腦罪犯都是透過社交工程手法行騙,只有不足五分一是選用精密設計的惡意程式。平日看電影,電腦罪犯總是掛着一副高深莫測的表情,坐在黑房中敲着鍵盤,但現實中,相比鑽研程式碼、找漏洞,他們其實更傾向利用人性,直接向目標對象索取資料,成功率更大。

在外國就曾經有記者「以身試法」(Fusion原文報導),邀請職業黑客示範利用社交工程入侵他的生活。結果黑客凱旋而歸,其中一名女黑客只憑目標的全名、電話號碼和他女朋友的名稱,用假來電顯示冒認為目標的電話號碼,然後加上一段YouTube上的罐頭嬰兒哭聲騙取同情心,成功假裝成目標的妻子,從電訊商手上得到目標的個人電郵,甚至重設賬戶密碼,整個過程都是透過電話熱線進行。另一名黑客則在目標的社交媒體上得知他在亞里巴巴上訂購了新的懸浮滑板,於是裝成亞里巴巴客服向他寄出釣魚電郵,亦成功令他中招。

提防騙案:堅持自己主動聯絡服務供應商

主動出擊難,願者上釣卻不難,尤其知道對方能夠說出我們很多重要資料時。今次選民資料外洩的後果很嚴重,雖未有證據顯示有不法之徒染指這些個人資訊,但提高警覺一定無壞。以後如果接到預期之外的「服務商」聯絡,而他又向你索取證實身份的資料的話,不如先收線,然後才自己直接聯絡該服務商跟進;收到「客服」的電郵,也不要馬上點擊信內的連結,自己造訪服務商的官網、登入帳戶了解更多。總之自己小心點,總不怕「姜太公」有機可乘!

97%PayPal域名網站都是釣魚網站 兩招區分真假!

撰文:網絡保安專家
范健文先生

17 / 08 / 2017

抑鬱症隨時引人犯罪

14 / 08 / 2017

你認為你是快樂的人嗎

11 / 08 / 2017

吸毒被捕

10 / 08 / 2017

FB專頁有藍剔就能保證信譽?

07 / 08 / 2017

愈食愈傷心

02 / 08 / 2017

協助子女面對違規行為問題

1 2 3 4 5  下一頁