帳戶被黑數字飆升
近月即時通訊帳戶被黑個案大幅飆升。警方公布數字顯示,上月網上即時通訊帳戶騎劫案件有近1,300宗,較前一個月大增九倍,被騙金額達2,350萬港元,當中96%涉及WhatsApp帳戶,1.5%涉及Telegram,最大個案損失百萬元人民幣。傳聞不少城中名人亦中招,筆者亦收到數個朋友的通知帳戶被黑,真正涉事帳戶數字恐怕是官方的數十倍。原先即時通訊軟件的對象是手機用戶,但不少人為了方便或因業務,同時利用桌上版,但沒有把官方連結儲存,又不安裝官方桌上版軟件,而是需要時利用搜尋器查找桌上版連結,又習以為常地點擊第一個搜尋結果,便掃描QR Code完成登入行為。今次騙徒手法是直接在Google上刊登付費廣告,令搜尋相關資訊時將極似官方網頁的惡意連結置頂,結果令大量用戶中招。黑客的目標是借用帳戶擁有者的身份去騙取與其聯絡的人,帳戶被黑者中招後還不知道,甚至沒有損失,卻連累了親朋戚友。近日騙徒又再變招,利用即時通訊軟件撥出視像通話,受害人一旦接聽,只會看到自己的容貌,騙徒可能已經將容貌及聲音擷取,再利用AI工具整合資訊,用作其它犯罪行為。大眾宜多加認識騙徒的伎倆及個人資訊被盜的後果。
騙徒並沒有新招數
事件有幾點值得深思。數碼騙徒不外乎就是兩招,一招是偷取鎖匙,令一招是「暴力攻擊」,前者成本低,是黑客最常用的手段。這浪帳戶盜用潮,騙徒變換的只是偷取鎖匙的方法。並不是本身WhatsApp或Telegram 有任何安全技術問題,而是用戶不小心中了釣魚陷阱,將「鎖匙」拱手奉上。今次主要是WhatsApp及Telegram用戶中招,筆者相信另一熱門即時通訊軟件Signal則沒有事,因為後者並無提供網上連結版,而桌上版是需要安裝官方軟件。再有Signal 桌上版是前瞻性,無法取得連結前的訊息。不要小覷取回舊訊息的安全風險,幾條看似閒話家常無傷大雅的訊息就可透露雙方關係,令騙徒輕易鎖定目標,順藤摸瓜。不少人更永久保存訊息,當中更可能有敏感個人資料。筆者就見過太多,利用即時通訊軟件傳送身份證照片。今次騙徒直接在谷哥刊登有害連結的廣告,再次證明社交媒體、瀏覽器等顯示的廣告難以審查,只能「核實而後信」。
電子郵件有過濾功能,來電及即時訊息則未有,被騙徒利用得非常順手。筆者有多過即時訊息帳戶,發覺利用特區本地電話登記的帳戶收到垃圾通訊特別多,使用外國電話號碼登記的帳戶,竟然收到中文垃圾通訊。明顯地,騙子已擁有基本帳戶資料且針對性發送訊息,而洩漏資訊的極可能是「豬隊友」。
減低被出賣的風險
減低帳戶被黑的風險,最基本是小心開啓連結、保持軟件更新、開啟二次認證等,相信本欄的讀者都已知道,這裏提供額外建議作參考。使用即時通訊桌上版,請先開啓一個新的不具管理人權限的帳戶,然後安裝官方軟件登入,使用完畢後馬上登出。掃描任QR code須非常小心,尤其是直接執行例如登入或轉賬的二維碼,最好再三確認安全及考慮使用其他方法。筆者習慣使用Signal,其開源本質及設計已多次證明安全性相對較高,即使不作為主要即時通訊,亦可作備用。不管你如何小心,你要提防「豬隊友」將你的資訊出賣。你要開始辨別哪些是豬隊友,例如對資訊安全消極負面,大量使用極權國家的軟件,貪小著數等,對其減少訊息發放,提防來自這些人的訊息,需要時找其它方法核實。在整體上必須減少資訊被出賣的風險,方法是避免濫用即時通訊,壓縮通訊消毀的時間。重要訊息改用其它方式交換。任何敏感的資訊不適宜通過即時軟件傳送,應用加密電郵。儘快清理歷史通訊,並要求通訊方同樣處理。任何涉及金錢及重要決定,不能依靠即時通訊軟件,應採用不同方式離開即時軟件繼續對話。請與你親密的人設定通訊協議或暗號,危急時用作核實身份之用。
資訊安全界有一金句,就是在「網絡世界,你根本不知道發訊者的真實身份」。當你收到任何要求你行動的訊息,在行動之前,請想起這金句,然後採取行動利用其它方式核實對方身份,就可避過大部份陷阱。 ◇
------------------
📰支持大紀元,購買日報:
https://www.epochtimeshk.org/stores
📊InfoG:
https://bit.ly/EpochTimesHK_InfoG
✒️名家專欄:
https://bit.ly/EpochTimesHK_Column
