Youthlaw
青法網熱線

星期一至六
早上10時至凌晨2時
星期日及公眾假期休息
 
電話:8100 9669
index
科技罪行資訊
釣魚網站如何騙財?
一封電郵令旅行相、BB相全部「被加密」?
小心 GOOGLE DOCS 釣魚電郵!

假網站如何利用真.APPLE網址,騙取你的個人資料?

別相信任何人:選民資料外洩有咩要驚?

FB專頁有藍剔就能保證信譽?

GOOGLE CHROME 綠鎖真的保證「安全」?

小心「本土化」電子帳單釣魚電郵!

釣魚網站如何騙財?
一封電郵令旅行相、BB相全部「被加密」?
小心 GOOGLE DOCS 釣魚電郵!

假網站如何利用真.APPLE網址,騙取你的個人資料?

別相信任何人:選民資料外洩有咩要驚?

用手機APP收電郵真係安全?

姐弟戀?跌眼鏡?其實都係內容農場文章!

如何對付席捲全球的勒索軟件

FB專頁有藍剔就能保證信譽?

Facebook在數年前推出認證公眾人物、媒體及品牌的「藍剔」制度,大部分香港主流媒體亦已得到其認證。不過「藍剔」其實只能證實專頁「符合商品說明」,證實它的身份是真的,卻不曾保證它發佈的資料也是真……

內容農場的文章雖然不一定是假新聞,但當然睇多無益!這些網站沒有一般新聞媒體的編輯和審核機制,內容更通常也是左抄右抄而來。文章一則可能不符現實,二則可能是「過期舊料」,三則可能侵犯其他人的著作權,大家最好避免助紂為虐!

內容農場點樣分?

部份內容農場的介面精美,與真正的新聞媒體相比一點也不輸蝕,Facebook專頁的人數更是不相伯仲!一般網民很少會在「讚好專頁」前先搜尋其背景資料,那麼我們可以如何分辨真/假媒體呢?早前我接受有線Money Cafe的訪問,我才發現,有些用戶認為得到認證的專頁就會發佈真新聞,但兩者其實沒有關係!

Facebook認證的專頁不就代表它是「真」的嗎?

藍剔不一定說真話

千萬不要以為專頁有藍剔,便等同Facebook認證其為真正的「新聞媒體」。藍剔的審核機制不同政府部門的做法,很多時候只代表Facebook證實專頁背後「真有其人」,不代表它的可信性較高;更有人認為內容較符合Facebook演算法的專頁較易得到藍剔(如發佈多一點影片),不過官方從未證實此說法。所以,藍剔的審核機制非常神秘,比百慕達三角還要神秘

BuzzHand是著名的內容農場,之前更有份散播「阮小儀同余文樂拍拖」的假新聞。然而上月winandmac報導,BuzzHand依然獲得Facebook「藍剔」(Blue Badge)認證,令網民嘩然。

美國假新聞如何影響社會?

內容農場都有藍剔,但一樣會發佈Copy & Paste其他網上文章的內容,部份更曾製造假新聞。 新聞是真是假,除了看文章的出處分辨,也可以嘗試用Google Image搜尋一下新聞內文的圖片——紙媒和網媒也有自己的攝影師,基本上也是用自己出品的圖片;內容農場大多也是使用網上圖片。如果你發現同一張圖被用在不同新聞中,你便會發現有古怪。

說到底,還是要多作驗證,切勿只靠「藍剔」!

撰文:網絡保安專家 范健文先生

返回頂部

GOOGLE CHROME 綠鎖真的保證「安全」?

Google大力推行HTTPS,不單止會係Chrome網址列側寫明HTTPS網站為「安全 Secure」,更會提高它們在搜尋結果中的排名—— 不過HTTPS又能否保證網站完全安全?其實又未必!

什麼是「綠鎖」?

「綠鎖」是瀏覽器Google Chrome及FireFox的HTTPS政策。由今年1月起,如果你的網站已採用HTTPS加密通訊,Google Chrome的使用者將會看到你的網址列側標誌著綠色的「安全 Secure」;相反,如果你的網站安全性較低,你的網址會被標示為灰色「!」,更甚者,如果你的網站需要使用者輸入密碼或信用卡資訊,卻沒有採用HTTPS加密通訊,Google Chrome則會為你打上「Not Secure不安全」的標記。FireFox的標準和處理手法亦類似。

HTTPS有什麼要求?

網站需要申請安全性憑證 SSL (Secure Sockets Layer),才可以擁有HTTPS。此憑證是由憑證授權單位 (CA) 所核發,它是評估網頁伺服器和瀏覽器之間傳輸資料過程的安全技術標準,確保網站和用戶(end user)的溝通過程中有採取加密措施,防範「中間人攻擊」和第三方監控。

理論上,HTTPS的確可以協助用戶選用更安全的網站。不過我們需留意,所謂「安全」只是指數據傳輸過程夠安全,而不是指該網站的設計和用途是安全的!SSL並不能證實網站有否遭受「網頁竄改」(Web Defacement)」、SQL Injection或惡意廣告等攻擊,或證實網站有使用足夠的保安措施保護資料庫。早前有研究人員更發現,不少釣魚網站以內含 “PayPal”的域名成功申請SSL,挾HTTPS之名魚目混珠。

只有寫清楚 “PayPal, Inc. [US]” 的網站才是得到認証的真正PayPal網站,右面寫上 “Secure”的網站雖有HTTPS,但卻是釣魚網站,目的是騙取你的帳戶資料!因此即使網站有HTTPS,用戶一樣要提高警覺!

撰文:網絡保安專家 范健文先生

返回頂部

小心「本土化」電子帳單釣魚電郵!

近來不同品牌、遊樂場、政黨,不論立場,有理冇理一律強調「香港」、「本土」、「港人優先」,落力吸like。大概騙徒亦同樣貼緊市場脈搏,清楚「本土化」有價有市,所以在最新一輪的垃圾電郵campaign中也使出「本土釣魚大法」,實行要釣盡香港「失魂魚」。 早前有報導指,有本地小市民收到疑似來自N公司顧客服務部的賬單通知電郵,見收件人亦是本人,於是一時奇怪按下查詢用的超連結,結果被帶到與N公司域名相似釣魚網站,一按即中毒。

正如之前有關Ransomware的文章中提到,今時今日的騙徒對垃圾郵件的製作嚴謹認真,而且目標明確,不但可以確保收件人真有其人,更可以就不同地區的目標度身訂造郵件主題內容。例如今次事件中的內文格式抄得十足十,而且最得人驚是騙徒對本地市場十分了解。他們知道哪一些賬單是香港人一定會查看的,例如網費 、 煤氣費 、 電費 、 電話費等等,可以不用過濾,漁翁撒網式發放垃圾電郵也總會碰上幾個對號入座的用戶。試想想你一個月會收到多少份電子賬單,哪有時間每份檢查?我聽聞有用戶亦收到仿電訊商B公司的詐騙電郵,騙徒可以說是無孔不入,已瞄準香港人的生活習慣甚至常用服務!

因此大家要小心開啟電郵,唔好懶,最起碼要檢查一下寄件者的電郵地址;按入電郵內的超連結,都要望一望url,簡單兩步已經可以減低風險- 不過首要條件當然要你知道正牌url是什麼。我隨手用軟件都已經可以generate到百幾個不同組合的N公司和B公司url,英文默書低分點也可能中招!

記住不能心存僥倖,以為自己在公司並非負責check invoice就不怕被騙。因為即使你不需幫公司找數,都一定需要幫自己找數,總有張單落你手!

撰文:網絡保安專家 范健文先生

返回頂部

釣魚網站如何騙財?

如何不成為「水魚」?

今時今日,身邊朋友的也擁有中國內地銀行戶口,不少還會使用網上理財,但你們可有留意「網絡安全」的問題? 你一定覺得「唔關你事」,但你也不成為「水魚」嗎?!跟你的財富有關,也應對事情多加了解吧!

香港是一個「網絡釣魚港」嗎?

香港電腦保安事故協調中心上月公佈了在香港寄存的「釣魚港數字」,於2014年,香港錄得594宗個案,但2015年,卻飆升233%,共1931宗。中心認為,激增原因為有攻擊者針對中國內地主要幾間銀行,而做成的大型「網絡釣魚活動」。

什麼是「釣魚網站」?

「釣魚網站」顧名思義是針對攝取用戶的個人資訊丶帳號丶密碼而做出來的詐騙網站。 由最初透過電郵方式,至今已經可透過即時聊天軟件如Whatsapp丶Facebook Messanger等途徑傳播。今天有些高端攻擊會針對目標人物去設定不同的詐騙網站,譬如:攻擊者知道目標人物每天都會使用icloud 的網絡服務,他們會去申請一些類同的域名 (Domain Name) ,再複製原來的網站去欺騙用戶,用戶一不留神就會將自己的資料拱手相讓。

要混亂我們的肉眼也挺容易吧!

為什麼選取香港為「釣魚港」?

中國內地銀行「被釣魚」只不過是內地的事,關我咩事? 香港才是高危「釣魚港」!因為要選擇中國內地的網頁寄存公司,網站要有「ICP 備license」,域名也要實名,黑客當然取易不取難,選取香港為「釣魚港」。

如何不成為「水魚」?

跟「警訊」口吻一樣,防止自己成為「水魚」,就必須時刻提高警覺。

1. 看清楚網址顯示欄,留意網址是否你真實想到的那個。
2. 使用者可留意你的瀏覽器有沒有出現釣魚網頁「警示」。

撰文:網絡保安專家 范健文先生

返回頂部

一封電郵令旅行相、BB相全部「被加密」?

近日病毒界的熱門話題非加密勒索軟件(Ransomware)莫屬。它除了能無聲無息地加密個人電腦中的檔案,更可以順藤摸瓜潛入共用伺服器,加密封鎖整個公司,甚至公營機構的檔案。外國已揭發部分醫療機構因被Ransomware封鎖病人檔案,導致日常運作及救援服務癱瘓;而本港多間學校、中小企亦屢屢傳出被Ransomware入侵的個案,情況令人擔憂。更重要的是,Ransomware操作者更是不論對象、只向錢看的「不法商人」。因此身為一般家庭用戶的你也不能掉以輕心,不然隨時可能因一封電郵而失去電腦中的珍貴檔案。

什麼是Ransomware?

Ransomware主要透過釣魚電郵感染電腦,將用戶電腦的檔案及內聯網檔案加密,並要求用戶支付贖金來換取解密密鑰。釣魚電郵會載有壓縮檔案附件 (zip 檔案)-甚至一般文檔(doc檔案),內裡包含一個偽造 PDF 文件的執行檔、Java Script檔案或.exe執行檔。當用戶打開這個執行檔案,電腦便會受到感染。加密後,惡意程式會把加密密鑰回傳到指令及控制伺服器 (C2 server),並在受感染的電腦留下勒索訊息,要求用戶支付指定金額的比等幣 (BitCoin),以換取解密密鑰,否則唯一的解密密鑰將被刪除。(資料來源:HKCERT)

如何得知電腦已被Ransomware入侵?

Ransomware的害處

金錢:

非正式調查發現有29%的人認為只要低於美金$400就會願意付錢;高於$800也有3%人願意繳交。保安公司的調查也發現有3%人願意付錢。

時間:

備份和洗機也需要花費技術人員的時間和人手,有公司訪問了300個IT從業員,發現有72%需要兩日或以上的時間修復系統。

Ransomware入侵電腦後,用家還能使用電腦嗎?

香港資訊科技商會資訊保安召集人范健文(Eric)表示,部分Ransomware的軟件(如Locky)只會加密檔案,用家仍然可以使用作業系統,也可以正常上網(畢竟要繳付贖金)、使用其他軟件:「因為他們的目的是為錢,要求的價錢也不算太高。(約為$2-4 Bitcoin)受害者可能會覺得不算昂貴,便會考慮繳付。」被加密的檔案包括文檔、Excel和資料夾等,因此你的功課草稿、旅行照片、珍藏片集通通不能幸免。不同駭客以盜取資料、破壞系統為目的,Ransomware的操作者目的只為求財,受害者還能使用電腦的部分功能。不過2016年3月下旬,德國出現一種名為Petya的新Ransomware,會加密電腦的Master Boot Record,令受害者未能開啟電腦。雖然已有當地資訊保安公司找出解決方法,但Ransomware在數天內可以有不同變種,大家還是需要保證警覺。

Ransomware與一般惡意程式的不同之處

相比一般電腦病毒,Ransomware對用家的技術要求不高。惡徒即使不是駭客,不懂寫程式,也可以像購買服務一樣「買」到勒索軟件。供應商已經預備好勒索軟件,只待惡徒成功後再以收取服務費的方式拆帳-例如每成功勒索一個人,便收取20%服務費,過程職責分明,已成為一盤「生意」。2015年發現一隻名為Tox的勒索軟件,用家不需要認識任何電腦專門知識,它就可以代你編寫、修復整個程式,界面十分容易使用。HKCERT指,更近期的版本設有不同選項,用家甚至不需懂得使用電腦。

傳播途徑

・電郵附件 ・瀏覽網頁:因為有些網站保安做得不夠好,被人入侵後被加入了惡意程式碼,最終可導致其他用戶只瀏覽網站,便會受感染
・包括常用CMS系統如Wordpress,甚至學校網站
・網頁上的廣告欄位:可能是1/20的橫額廣告,點擊後才會觸發程式運行
・手機: 按下不明連結或下載非官方軟件

 一般用戶為何容易受襲?

1.專攻標題黨

正所謂「騙徒手法層出不窮」,Ransomware進化至今日,偽裝手法已經變得十分高明。Eric指,Locky會在電郵主旨(Subject)和內容部分包含”Invoice”、”Attachment”等字眼,降低會計或行政人員的警覺。

2.扮Frd子

Ransomware會花上一點時間「研究」你的電郵收件匣,再模仿為你的同學、同事、上司或老闆,用同樣的域名傳送電郵給你,行內人稱為為Spoofing Attack,令人防不勝防。

3.披著羊皮的狼

打開壓縮檔案附件(zip 檔案)一看,你只會看見內容為一般文檔(doc檔案)、 PDF 文件的執行檔、Java Script檔案等,外表看起來不像病毒,甚至連防毒軟件也未必能識破它的偽裝

4.公司內有大量連線電腦

Microsoft的代表劉耀麒又解釋,假設事發地點為電腦房,惡徒入侵一部電腦後,可以得到登入用的用戶名稱及密碼(Username/Password),然後可以不停嘗試,直至找出你的「管理員」(Admin)密碼或連上後台伺服器。病毒可以不停遊走,只要有一名用戶為個人電腦和共用資料夾設定同樣的用戶名稱及密碼,也會助病毒找到封鎖全校檔案的路徑。

此外,職員設定「共用權限」(Share Permission)的時候可能貪圖方便,直接設定為 “Everyone Full Control “,令病毒蔓延得更快。

公司或個人電腦已經安裝防毒軟件/防火牆,仍不足夠嗎?

防毒軟件並非萬全之策!因為:

1.Zero-day Attack

Microsoft合約服務商Adeccoh的分析師江榮林指,若技術人員仔細查看病毒的發佈日期和製作日期,大概可以發現不少也是同一天出產和應用的軟件;有案例甚至連擔任惡意程式控制中心的域名(Domain)都是同一日創建,即惡徒在同一天內完成所有工序。由於病毒的識別碼(Signature)更新得太快,防毒防毒軟件過濾不了同一天出現,並進行攻擊的軟件,所以未能攔截。在最新3/14的樣本中,有數種Ransomware也未能掃描得到。

2.非針對網絡伺服器的防毒軟件

網絡防毒、電郵伺服器防毒不同電腦防毒,現有防火牆未必足夠。
 

撰文:網絡保安專家 范健文先生

返回頂部

小心 GOOGLE DOCS 釣魚電郵!受害人用戶密碼、朋友同事電郵地址遭盗用!

昨日,美國突然出現一波假扮Google Docs的釣魚電郵攻擊,大公司如Buzzfeed、The Verge亦收到同一封可疑電郵!分享預防和急救方法前,先綜合不同受害人及媒體的報告,分享詳細攻擊流程:

  1. 受害人會收到一個Google Docs電郵,要求你登入以檢閱文件。
  2. 登入後,你會看到一個自稱為 “Google Docs” 的程式要求取得帳戶聯絡人、管理及收發電郵的權限。
  3. 一旦獲得允許,就等同大開中門,任由罪犯利用你的帳戶,甚至可以更改密碼!
  4. 罪犯取得你的聯絡人資料,並以你的名義向他們發出同一封Google Docs電郵,擴散攻擊。

是次攻擊有別於之前,之前數次都是配合HTTPS和仿Google登入頁面製成釣魚網站,今次的Google登入頁面卻是真的!罪犯「開發」了一個第三方程式,然後循正常程序,就像你使用Dropbox等程式一樣向你索取權限,讓它進一步「提供服務」。只是,這個第三方程式「剛剛好」又是名為 “Google Docs”,又「剛剛好」由不法之徒管理!

如何提防、如何急救

Google收到消息後,已經馬上叫停這個假 “Google Docs”程式。不過求人不如求己,倒不如學懂自己提防:

1. 放大雙眼
查清楚收、發郵件的電郵地址,或者在打開Google Docs前先透過電話、WhatsApp問一問寄件者文件的內容,確認對方真的有意寄出該封電郵。另外,今次的攻擊也未臻完美,細心一點也可以看出端倪

2. 檢查帳號權限
趁這個機會,檢查一下自己已連結到您帳戶的應用程式,查看已開放的權限,發現可疑或不認識的程式,馬上移除吧!

撰文:網絡保安專家 范健文先生

返回頂部

假網站如何利用真.APPLE網址,騙取你的個人資料?

apple.com可以不是真 “apple”?中國資安研究人員Zheng Xudong近日公開調查,指他在數月前發現三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞,令罪犯可以製作出「同形義字」的假Apple釣魚網站,加上「安全」HTTPS認證,看起來更和真的 “apple.com”一樣!

此 ‘a’不同彼 ‘a’ 網址都有分兩文三語!

 現實世界中有不同語系,網絡世界其實也有,例如中國的.cn網站、台灣的.tw網站就有一部分是直接選用中文作網址。自2007年起,網絡系統便接受英文以外的網址,中文、阿拉伯和斯拉夫語言等字符也可以用作域名,稱為國際化域名標籤(IDNA)。這些語言本來都是以萬國碼Unicode編碼、顯示,但是域名系統受技術所限只能使用ASCII編碼,於是負責管理域名及IP地址的組織ICANN就通過,其他語言需要根據域名代碼Punycode字符集,將Unicode「轉換」為ASCII制式。例如,德文「münchen」(德國慕尼黑)會被編碼為「xn—mnchen-3ya」,中文「香港」就會被編碼為「xn—j6w193g」。

「同形義字Homograph」攻擊

不過,IDNA有一個致命的問題,那就是這種可以由不同語系字符組成的域名,令罪犯有機會可以用「同形義字Homograph」的方式製作以假亂真的網址。舉例而言,域名中的 “apple” 本應為拉丁字母的 “a”,但罪犯以Cyrillic字母(即斯拉夫語言所用的字符)的 “a”取替,開設新網站。用家以為Cyrillic [‘a’pple]就是拉丁[ ‘a’pple] ,被誤導向罪犯提供真資料。

早在2005年,ICANN就已經提出Homograph Attack的潛在危機,不過當時未有處理。及後在2011年更出現實際例子,域名為Cyrillic字母的假網站 “raural[dot]com” 由Unicode顯示,網址看起來竟與網上支付網站 “PayPal.com“竟然近乎一模一樣!

Chrome、Firefox及Opera的漏洞

現代瀏覽器其實已找出解決方法:只要感應到域名混雜使用多種語言,瀏覽器便不會顯示Unicode,反而會顯示Punycode,以免用家混淆同形義字的不同域名。 然而,中國資安研究人員Zheng Xudong數月前發現,三個著名瀏覽器Chrome、Firefox及Opera的防禦機制設計含有漏洞。當黑客只使用一種外語取代域名的每一個字符,以上三個瀏覽器皆未能偵測出可疑的域名,更未能以Punycode顯示它的「原型」!Zheng Xudong製作了一個假Apple網站展示以上漏洞,你也可以親眼看看:Apple.com Demo(放心,沒有毒!)另外,本地資訊安全研究機構VXRL的安全研究人員Zetta亦幫忙製作了一個假Microsoft網站,這個網站連介面也「抄」到十足:Microsoft Demo (同樣安全) 更麻煩的是,這兩個假網站已成功得到SSL認證,為「安全」的HTTPS網站!雖然SSL只能認證網站的數據傳輸過程保密、沒有第三方監視,不代表網站安全無毒,但Chrome、Firefox及Opera皆會直接顯示為 “Secure”。假Apple網既有SSL認證,讀起來更和真Apple一模一樣,你又如何分辨?SSL認證制度無疑令「同形義字Homograph」攻擊更難抵擋。
什麼是HTTPS?原來HTTPS也可以是釣魚網站!

Firefox和Chrome已著手處理問題,前者未有正式修補漏洞的方案,但用戶可以設定瀏覽器強制顯示Punycode網址;而後者則會在月底推出包括修補檔的更新。

撰文:網絡保安專家 范健文先生

返回頂部

別相信任何人:選民資料外洩有咩要驚?

選舉事務處在今屆特首選舉期間遺失兩部電腦,內藏全港378萬地方選區選民的姓名、地址及身份證號碼,當局暫時未有解決方法,只強調資料已被多重加密,罪犯很難破解。金管局又大派定心丸,指單憑該等資料不能使用網上銀行服務,電話銀行亦需要用戶回答額外的保安問題,理論上還是安全的。不過實際真的如此嗎?罪犯真的會天真地憑着上述三項資料,直接致電銀行辦轉賬?

 社交工程(Social Engineering)套取密碼

罪犯的犯罪手法當然不會這樣直接,假設對方成功解密,與其打草驚蛇直接聯絡銀行,倒不如放長線釣大魚。他可以運用這些資料向銀行以外的服務供應商埋手,找出目標的電郵、電話、社交媒體賬號等資料;又可以域名查冊服務Whois逆向搜尋,以登記者姓名查找名下的網站及相關公司名,為下一步的攻擊行動做準備。然後他可以裝作你的服務供應商或網購網站,向你發出針對性的釣魚電郵,附上釣魚網站的連結,吸引你點擊並輸入真實的用戶憑證 ……這種手法統稱為「社交工程」,不需要太精密的科技,罪犯一樣可以利用人的心理攻其不備。

著名資訊安全公司Kaspersky Lab上月剛發布2016年金融機構保安風險報告,顯示有75%電腦罪犯都是透過社交工程手法行騙,只有不足五分一是選用精密設計的惡意程式。平日看電影,電腦罪犯總是掛着一副高深莫測的表情,坐在黑房中敲着鍵盤,但現實中,相比鑽研程式碼、找漏洞,他們其實更傾向利用人性,直接向目標對象索取資料,成功率更大。

在外國就曾經有記者「以身試法」(Fusion原文報導),邀請職業黑客示範利用社交工程入侵他的生活。結果黑客凱旋而歸,其中一名女黑客只憑目標的全名、電話號碼和他女朋友的名稱,用假來電顯示冒認為目標的電話號碼,然後加上一段YouTube上的罐頭嬰兒哭聲騙取同情心,成功假裝成目標的妻子,從電訊商手上得到目標的個人電郵,甚至重設賬戶密碼,整個過程都是透過電話熱線進行。另一名黑客則在目標的社交媒體上得知他在亞里巴巴上訂購了新的懸浮滑板,於是裝成亞里巴巴客服向他寄出釣魚電郵,亦成功令他中招。

提防騙案:堅持自己主動聯絡服務供應商

主動出擊難,願者上釣卻不難,尤其知道對方能夠說出我們很多重要資料時。今次選民資料外洩的後果很嚴重,雖未有證據顯示有不法之徒染指這些個人資訊,但提高警覺一定無壞。以後如果接到預期之外的「服務商」聯絡,而他又向你索取證實身份的資料的話,不如先收線,然後才自己直接聯絡該服務商跟進;收到「客服」的電郵,也不要馬上點擊信內的連結,自己造訪服務商的官網、登入帳戶了解更多。總之自己小心點,總不怕「姜太公」有機可乘!

97%含PayPal域名網站都是釣魚網站 兩招區分真假!

撰文:網絡保安專家 范健文先生

返回頂部

用手機APP收電郵真係安全?

小弟作為一個專業嘅資訊保安人員,得閒檢查一下手邊的電子裝備、伺服器同IP位址,都好合理!近日一時好奇,手痕檢查平時慣用的電郵Apps Microsoft Outlook(iOS),竟然發現一直以來都有位陌生的第三者「幫手」處理我的公司電郵……

先解釋一下一般電郵App的運作方法。以Apple的內置電郵App Mail為例,用戶用App接收電郵,理應直接經由本地ISP(網絡供應商,Internet Service Provider),直接由公司伺服器存取電郵資料。App內存有用戶自己的登入名稱和密碼(即用戶憑證 Credentials),因此你可以在手機上收取電郵。情況類似收取實體郵件的過程,你握著自己的鎖匙,走到信箱前開鎖、拿出郵件,完。過程中理應只有你參與其中,而且全部都是本地完成。

Microsoft Outlook透過第三方伺服器提取你的公司郵件

我經常在iPhone上經Outlook iOS App收取個人和公司的電郵,一直都覺得非常方便好用。不過有一日心血來潮,多手檢查了寄件同事的IP位址(等同地址),發現應該身在香港的他居然是由外國IP發出信件!於是我再檢查其他寄件人的IP位址,發現即使寄件者不同,大家的IP位址都來自同一個外國IP(見下圖的「52.37.20.202)」)。這非常奇怪,因為就同寄信一樣,每個人的IP也應該是不同的,即使一樣在公司發出,也會有不同的IP!而且本地收取、讀取的信件為何會由外國IP經手?

於是我估計,在我和公司伺服器中間應該還有一個第三方伺服器,仔細一查就發現是Amazon的雲端伺服器AWS。原來一直以來,我在手機上收取的電郵都不是直接由公司伺服器中提取的,而是經由AWS讀取的(見下圖),這是很不尋常的設計。你想想,你收信時會不會把自己的郵箱鎖匙交給一個陌生人,然後請對方代為取信,再轉交給你?不但不會,更無必要。

 處理手法有什麼問題?

發現有關處理手法後,我主要有三個疑問:
  1. 為什麼要兜路到海外雲端?
  2. 為什麼Outlook不通知用戶有關安排?
  3. 為什麼用Amazon的雲端,不用自己的O365? 雖然AWS信譽不錯,但我不明白為何要特登將我的電郵扔到海外,再扔回港。另外,第三方AWS雲端會否紀錄我的用戶憑證?我沒法知道Microsoft選用的第三方是純粹傳送資料,還是中間已經儲存我的密碼,然後在未獲授權的情況下提取我的電郵。 早前有另一名資安博客也發現Outlook App的不尋常,並作出深入報道(分上、下兩篇)。他指Outlook App是Microsoft收購電郵App Acompli後重新包裝而成的,Acompli在去年1月版本(見上篇)的T&C中提到他們會「暫時存取 “temporarily stored”」你的資料。有關條款在去年2月(就是報道出爐後)已經刪去。(Acompli私隱條款)

安全問題

Outlook App的「兜路」收信過程令我想到行內人稱為「中間人攻擊」(Man in the Middle Attack)的手法,「指攻擊者在訊息傳送時,於發 送者和接收者之間,

暗中讀取、插入及更改訊息的網上攻擊。」(政府資訊安全網)不過根據上文提到的條款,Acompli/ Outlook不會存取你的資料。

Outlook只是我找到的一個例子,其他電郵App可能都有相同問題(如Blue mail),所以問題可能不止在出現在Microsoft上!現在並沒有證據顯示這樣的處理手法會構成危險,不過安全起見,如果你已經習慣用Outlook iOS App又不想轉用內置電郵App,你就要確保自己的電郵系統做好SSL防護。即使第三方不會儲存你的資料,最好還是在用戶(你自己)和公司伺服器使用POP3/IMAP-SSL,確保自己的網絡安全。

一般人都慣用流動裝置收取個人或公事的郵件,雲端服務近年更成為公私營機構、學校選用電郵伺服器時的大熱之選。不過舊雲上面做緊咩,你又真的清楚嗎?你的個人資料由哪一舊雲跳到哪一舊雲,你又真的清楚明白?雖然最後我都會繼續用Outlook App,但作為使用者,你對資料處理手法都有知情權。知多無壞,做資訊保安大忌就是「大安旨意」!

撰文:網絡保安專家 范健文先生

返回頂部

姐弟戀?跌眼鏡?其實都係內容農場文章!

姐弟戀?跌眼鏡?其實都係內容農場文章! 今早Facebook、微博上都傳出一則有關藝人余文樂和商台DJ阮小儀熱戀的緋聞,但如果你有留意上一篇有關內容農場(Content Farm)的文章,就會知道這只是它們無數「傑作」之一,因為消息的來源正是內容農場網「愛分享」(ww.share001.org)!

真唔真?參考上一篇有關內容農場的三大潛在危機的文章,你就會發現有古怪:

ww.share001.org(「愛分享」)是內容農場,消息不可信。

娛樂圈緋聞就經常有,內容農場都經常做,不過今次可以做到真一樣。因為大陸主流娛樂網站《搜狐娛樂》直接引用內容農場的文章內容作「消息來源」,未向當事人證實真相就在微博上轉載:台灣《自由時報》引用搜狐消息,並直接截取後者的微博貼文(翻攝自《自由娛樂》的翻攝)

Share001竟然成為「爆料媒體」,連無中生有的「回應」也照搬無誤

內容農場的文章經主流媒體如《搜狐》、《自由時報》、《人民網》等轉載,更加多兩分真實。幸好香港媒體沒有中招,反應雖說慢了一點,但出街時已加入當事人否認傳聞的回應,報導較全面。 順帶一提,搜狐是「微博大V」,有百多萬粉絲。

所以你話內容農場假?又連主流媒體都信以為真,所以還是要自己打醒十二分精神衡量真確性。你可以:
  1. 自動略過「001」系列域名(更多可疑域名可以參考《香港網絡大典》的名單)的消息
  2.  Dislike/自動略過「高登潮聞/吹水/巴打/絲打/時事/台」或「高登起底組」等Facebook專頁的內容,這些專頁只會分享內容農場的文章,很容易與一般高登專頁區分
  3. 直接安裝「封鎖內容農場」的瀏覽器插件 最重要:多用常識!分享文章前先Google一下,其實不難發現消息有問題。

撰文:網絡保安專家 范健文先生

返回頂部

如何對付席捲全球的勒索軟件

要暫時對付WannaCry ransomware (分別已經有16間英國醫院,西班牙電訊公司被攻擊) ,傳播方式:有機會透過電腦蠕蟲,即不一定只是點擊檔案,透過電郵或瀏覽網頁後被傳染。 留意:受影響Windows視窗Vista, Windows 7, Windows 8.1/RT 8.1/ Windows 10. Windows服務器 Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016以及Windows Server Core Installation Option。

 建議立即執行以下動作:
  1. Patch MS17-010資料: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
  2. Disable SMB v1資料: https://www.us-cert.gov/ncas/current-activity/2017/01/16/SMB-Security-Best-Practices 
  3. 在防火牆封閉TCP/UDP137-139, 445 以及TCP 3389 
  4. 立刻檢查數據備份是否有效,強烈提議將其中一份數據暫時離線 
  5. 使用OpenDNS (208.67.222.222 · 208.67.220.220) 
  6. Don't enable macros 
  7. 做一次Windows 

撰文:網絡保安專家 范健文先生

返回頂部