提防仿冒詐騙攻擊

關於提防仿冒詐騙攻擊

仿冒詐騙亦稱釣魚攻擊，以所有互聯網及電郵用戶為攻擊對象，是其中一種最常見的網絡攻擊。仿冒詐騙者的目的，是要誘騙你到訪惡意網站或披露你的敏感資料，以作惡意用途。請繼續閱讀以下資訊，以更有效保障你的身分、財產、聲譽及電腦系統。

什麼是仿冒詐騙？
常見的仿冒詐騙類型
風險及影響
如何偵測？
明辨真偽電郵大挑戰
如何防避？
如何應對？
影片
延伸閱讀

仿冒詐騙是一種會冒充成相熟人士或可信任的機構（例如銀行、學校或工作伙伴），以圖獲取互聯網用戶的敏感資料的攻擊行為。仿冒詐騙攻撃有時會令你的電腦裝置受到感染，並遭惡意軟件入侵。

仿冒詐騙攻擊一般通過電郵、即時通訊、偽冒網站或社交媒體進行。仿冒詐騙者可能會在任何時間發動攻擊，他們通常在假期或自然災害、疫症、大型政治選舉等期間發動大規模的仿冒詐騙攻擊活動。互聯網用戶要時刻保持警惕。

一般仿冒詐騙 - 仿冒詐騙者偽造看似來自正當機構或人士發出的訊息，然後以大批郵件方式發送，收件人可能因而受騙，披露其敏感及重要的個人資料。
魚叉式仿冒詐騙 - 魚叉式仿冒詐騙是更為精密的仿冒詐騙，專門針對特定的人士或公司。仿冒詐騙者利用從社交媒體等不同來源所得的個人資料，偽造個人化訊息，然後傳送給選定的群組或人士，例如高級行政人員及高層管理人員。由於目標人數較少，仿冒詐騙者較易在訊息中加入個人資料，例如目標對象的姓名或職銜，令訊息看來更為可信及難以偵測。

風險:

敏感資料外泄 - 仿冒詐騙者會冒充成與受害者相熟的人士（例如受害者公司的高層管理人員或顧客）或可信任的機構（例如銀行），以誘騙受害者透露他們的敏感資料，例如帳戶名稱、密碼及身分證明文件資料。仿冒詐騙者或會進一步利用這些敏感資料作惡意用途或將這些資料出售予第三者。
感染惡意軟件 - 仿冒詐騙電郵內的連結或附件，又或仿冒詐騙網站都可能載有各種惡意軟件（例如鍵盤側錄程式、勒索軟件及挖掘加密貨幣惡意軟件）。如用戶點擊這些連結或打開這些附件，其裝置便可能受到惡意軟件感染，因而可能導致資料外泄、資料損失或其他經濟損失。

影響:

經濟損失 - 仿冒詐騙者可利用從受害者取得的敏感資料進行交易，例如轉移受害者的金錢，據為己有。由於公司需處理仿冒詐騙所帶來的影響（例如登入帳戶及密碼外泄），因此浪費僱員的生產力，擾亂業務運作。
聲譽損失 - 仿冒詐騙者可進一步利用從受害者取得的資料寄出勒索信，恐嚇受害者的聯絡人，甚或進行非法活動（例如入侵受害者機構的系統盜取機密資料），令受害者遭受責備，甚至遇上法律及責任問題。對受攻擊的機構而言，其品牌的聲譽會受損，客戶對機構能否保障他們的資料失去信心，因而可能會把業務轉移至其他機構。
知識產權遭竊取 - 知識產權（包括商標、專利、商業秘密等）對於一間公司的成功至關重要。藉着從受害者取得的資料，仿冒詐騙攻擊可導致知識產權遭竊取，令公司損失數以百萬元甚至億元計的研究及開發費用，甚至可能危害公司的將來。

仿冒詐騙電郵:

仿冒詐騙電郵會偽造成由正當人士或機構發出的電郵。這類郵件一般載有威嚇字句（例如須立即處理的可疑帳戶活動）或提供好得令人難以置信的好處（例如贈送免費智能手機）。如你的電郵信箱出現這類訊息，便要時刻保持警惕。

仿冒詐騙電郵的常見特徵:

恐嚇/警告性質的標題句
由可疑的電郵地址或公共電郵地址發出
通用的問候語
要求提供個人資料
文法/串字錯誤
無法確認/串字有輕微錯誤的網址連結

仿冒詐騙網站:

受害者一般經由仿冒詐騙電郵或社交媒體中的連結或通過點擊可疑廣告進入仿冒詐騙網站。仿冒詐騙網站通常載有要求你輸入敏感資料的帳戶登入或付款頁面。因此，在登入此類頁面時，必須時刻保持警惕。

仿冒詐騙網站的常見特徵:

偽冒的URL位址 – 仿冒詐騙網站的URL位址通常與知名機構網站的位址非常相似，例如以www.famousorganisation.com假冒www.famous-organisation.com。
以HTTP開頭的網址 – 你只應在HTTPS網站，而非HTTP網站遞交敏感資料。
質素低 – 仿冒詐騙網站通常是倉卒建立，並且為時短暫，因此有時會出現文法／串字錯誤，而且圖像的解像度低。
要求提供個人資料 – 建立仿冒詐騙網站的目的是要誘騙你透露個人資料或憑證資料。

仿冒詐騙網站例子:

沒有掛鎖圖像（顯示“不安全”圖像)
使用 HTTP 而非 HTTPS
域名是“bemoepay”，而非“demoepay”
要求提供憑證資料

仿冒詐騙電郵可構成嚴重的保安風險，它們可竊取用戶的個人信息。仿冒詐騙攻擊不僅影響你的個人電腦，還可以控制機構的電腦系統。

立即接受挑戰

（你需要在這個挑戰中嘗試識別「真確電郵」或「偽冒電郵」。）

對互聯網用戶的建議:

使用電郵服務時

對可疑電郵時刻保持警惕。
不要開啓任何可疑電郵。
經常檢查電郵附件的副檔名 – 開啓電郵附件時務須小心，切勿開啓副檔名為 “pif”、“exe”、“bat”、“cmd”、“vbs”的附件。
提供敏感的個人或帳戶資料時應時刻保持警惕 – 銀行及金融機構甚少以電郵方式索取你的個人或帳戶資料。如有懷疑，應向相關機構查詢。

瀏覽網頁時

避免直接點擊連結 - 切勿直接點擊來歷不明、電郵或社交媒體所載的URL連結，亦切勿依賴搜尋器結果，而沒有核實銀行或金融機構的網站的真實性。
以人手方式輸入URL位址或通過已加入書籤的連結瀏覽常用的網站或金融機構網站。
不要瀏覽可疑網站。
避免使用設於咖啡室或圖書館等場所的公共無線網絡、公用或不安全的終端設備進行網上理財。

使用社交媒體平台時

不要接受陌生人的交友邀請 - 陌生人一旦成為社交媒體上的朋友，便可存取你的個人檔案、照片及社交活動記錄等資料。這些資料可能會作非法用途，例如魚叉式仿冒詐騙。
減少在個人檔案披露過多個人資料 – 避免在個人檔案披露敏感資料（例如住址）。請緊記，在個人檔案披露愈多資料，把這些資料泄露予陌生人的風險便會愈高。
小心設置你的私隱設定 – 小心決定哪些資料你想公開或只限朋友存取。

其他保安建議

更新保安修補程式及病毒識別碼 - 時刻確保電腦上的保安修補程式及病毒識別碼是最新版本。
使用濫發電郵過濾軟件 – 可考慮使用桌面式濫發電郵過濾產品及瀏覽器的內置功能，以協助偵測和阻截欺詐電郵，但亦要留意會有誤報情況。

對機構的建議:

通知用戶你的機構所採取的防範措施 - 例如你的機構不會通過電郵或電話要求用戶披露個人或帳戶資料。
經常更新你的網站證書 - 用戶可獲保證有關網站合法。
向用戶提供驗證和舉報任何可疑電郵／網站的渠道。
註冊類似的域名 - 可考慮註冊與你的機構現行使用域名相近的域名。例如除原有域名“www.aaaabank.com.hk”外，亦可註冊 “www.aaaabank.com” 或“www.aaaabank.hk”等域名。
加強你的機構在網站、應用程式及電郵系統方面的保安控制措施 - 可考慮使用技術方案（例如保密插口層（SSL）、雙重認證、數碼證書、防火牆、抗惡意程式碼方案）。你亦可考慮使用電郵認證協議（例如發件人策略框架（SPF）及域名密鑰識別郵件（DKIM））。SPF有助確保寄件者身分的真偽，而DKIM則有助驗證電郵內容有否被竄改。
加強運作上的控制措施 - 財務機構可以實施一些政策，例如為用戶每日最高交易款額設定上限，或要求用戶必須事先登記才可使用某些網上交易服務。
教育用戶 - 開發一套良好作業模式，讓用戶使用互聯網服務時可以依循。
定期舉辦防範仿冒詐騙的訓練或模擬測試。

當你收到可疑電郵訊息:

不要點擊任何連結或下載任何附件

這些連結可能會將你轉至惡意網站，而有關附件則可能載有惡意軟件。
不要回覆電郵

迅速向有關方面（例如你機構的網絡管理員）報告事故，以便進行檢查和清理。
查證連結的真正目標地址

將鼠標移至連結上查看連結的目標地址，以及使用連結掃描器（例如 Norton SafeWeb, URLVoid, VirusTotal）掃描連結。
驗證寄件者身分

使用電郵所載以外的其他途徑（例如信用卡或結單上的電話號碼）驗證寄件者的身分。
刪除可疑訊息

如你確信有關訊息為濫發訊息，把訊息刪除。
向有關方面報告

向有關方面（例如你的銀行）報告事故。如有需要，你亦應考慮向香港警務處報告有關攻擊事故。

當你點擊了可疑電郵內的連結或下載了當中的附件:

中斷裝置的網絡連線

這樣可減低惡意軟件傳播至你的網絡上其他裝置的風險，也可防止惡意軟件從你的裝置發送敏感資料。
立即報告

迅速向有關方面（例如你機構的網絡管理員）報告事故，以便進行檢查和清理。
進行惡意軟件掃描

在重新將裝置連接至網絡前，使用抗惡意程式碼軟件進行全面掃描，並依照軟件的指示清除所發現的可疑檔案。
更改憑證

惡意軟件可能已取得你的網上帳戶（例如電郵、網上銀行及社交媒體）的憑證。因此應立即更改你的網上憑證，以阻止仿冒詐騙者使用你的帳戶。

當你已向仿冒詐騙電郵／網站提供了敏感資料:

更改憑證

更改有關帳戶的密碼。
立即報告

向有關方面（例如你的銀行或機構的網絡管理員）報告事故。你亦應考慮向香港警務處報告有關攻擊事故。

當我機構的身分被利用進行仿冒詐騙攻擊:

警告用戶

迅速通過新聞公報、網站或電郵，向用戶、有關方面以至市民發出有關欺詐網站的警報，並警告他們不要回應可疑或仿冒詐騙電郵。
立即報告

向警方及相關組織／監管機構（例如香港金融管理局）報告有關可疑網站。
向潛在受騙用戶提供意見

建議懷疑受騙的用戶立即更改密碼，如有需要可以向警方報案。
向你的網站管理員發出警報

向機構員工、網站管理員或服務供應商發出警報，以加強保安措施，以及提防任何可疑活動，例如可疑埠掃描活動、某些電腦裝置的通訊流量異常高或連線至互聯網的可疑伺服器。