除了“钓鱼”,网络罪犯常用的另一种手法是“中间人攻击”(man-in-the-middle attack)。罪犯会在通讯双方之间创建独立联系,拦截双方通讯,从中搜集数据。通讯两端都以为他们正在私密和安全地对话,但事实上整个过程都被网络罪犯完全控制。
用赢奖为饵“钓”资料
即使用户不下载影片或音乐也可能会中招,沙什沃特说:“一些网站可能要求你安装程序插件(plug-in),像浏览器的插件可以监测你的上网习惯,如果你电脑知识不足,随意答应的话,网络罪犯可能把这些资料卖给社交媒体公司来推销广告。”
少过半数国人为手机安装网安应用
更新操作系统及应用能防范大多数安全威胁,尽管可能耗费一些时间,但这是保护手机和电脑安全的最基本要求。张亦坚说:“很多更新其实是修复软件的安全漏洞,如果软件里有缺陷(bug),黑客便可以趁虚而入,所以经常更新设备是一个好习惯。”
美军去年就爆出一则新闻,美国Strava运动追踪应用的热区图(heatmap)竟泄露了军事秘密。原来一些美军喜欢使用Strava,以GPS记录跑步或骑脚踏车路线、计时和配速等。Strava去年公布全球用户使用情况,并以地图方式显示用户的活动路线,光线越强的地方代表越多用户在那里跑步或骑脚踏车,结果却暴露了美军的海外驻扎情况、军事基地地点和建设轮廓等,遭外泄的基地在阿富汗、叙利亚、非洲等地。
费尔南多坦言网络威胁不会消失,而且黑客会变得越来越厉害,随着很多服务上网,黑客也有更多机会展开网袭。“我们最大的挑战是,业者须要注重和加强网络安全和隐私保护能力。我们有网安工具,但是有些业者可能不够理解或重视网安,因此他们离网安就有一段距离。”
如果你不喜欢用密码管理软件,沙什沃特建议选择易记而不易被猜到的密码,如用一组对你有意义的词语等,这样黑客就不太容易入侵。他也建议大家开启账号的双重认证(two-factor authentication,简称2FA)功能,提供多一层保护。
读到这里,你可能会感到疑惑,怎么这些大明星都成了“网络最危险明星”?原来,人们如果在网络上搜寻以上明星的名字,很有可能会进入有恶意软件的网站,或下载有病毒的torrent文件。
随着5G时代的降临,处处是智能设备,处处可联网,高网速除了大力推动物联网(Internet of Things,简称IOT)的发展,也扩大了网袭的影响。
新加坡网络安全局“2018年网络安全调查报告”显示,近半数新加坡人过去一年曾遭到至少一次网袭。受访专家指出,无论使用电脑或手机,提高网安意识,才能避免个人资料被黑客“钓”走。
然而,手机屏幕小却让用户更容易陷入“钓鱼”网络陷阱。张亦坚说:“当用户收到一些网站链接,手机屏幕小,无法完整呈现网址,所以用户容易‘被钓’。此外,很多人用手机时一心多用,同时跟人聊天、搭地铁、上网等,很容易分心,就算收到手机的安全提示,也可能会马上按掉,导致不经意地下载恶意软件。”
据新加坡网络安全局“2018年网络安全调查报告”,近半数新加坡人过去一年曾遭到至少一次网袭。最普遍的网袭方式为弹出式广告,有36%的受访者曾遭到这类网袭。另外有15%的受访者则表示,他们的个人资料可能被窃取,因为他们光顾的商家遭到网袭。
张亦坚说:“下载应用前,通常都须要答应一系列条款,其中可能包括同意跟应用公司的合作伙伴分享我们的个人资料。我们很难知道第三方会怎么用这些资料,很多时候是推销广告,但有些时候也可能被滥用。”
McAfee东南亚消费者业务主管沙什沃特坎德尔瓦尔(Shashwat Khandelwal)解释说:“人们对这些明星充满好奇,会去搜寻他们的电影或音乐等。有些人不想付费,会到非法串流网站在线观看影片,或下载盗版电影等,这时就可能落入网络罪犯的陷阱。”
沙什沃特认为,好好管理和设定登录密码至关重要。他说,现代人平均要登录50至100个各类账号,不过多数人为了方便记忆,会重复使用同样或类似的密码。“如果其中一个电邮账号被黑客入侵,用户的名字和登录密码可能被泄,黑客可以用这些个人资料尝试登录用户的其他账号。”
值得关注的是,网络安全调查报告指出,很多国人关心网络安全事件,对网安的意识也提高,不过还是有一部分人认为自己不会成为受害者。有八成受访者担心电脑会被黑客入侵或个人财务资料被泄,但只有约四成认为这类事件会发生在自己身上。调查也显示,为手机等个人电子设备安装网络安全应用的国人,从前年的53%减少至去年的45%,国人对待网安的心态让人担心。
沙什沃特说:“我们现在有很多智能保安摄像机、智能电视、智能冰箱等,黑客可通过互联网入侵操控它们。问题是这些设备多数没有屏幕,处理器性能又低,我们要如何提供网安防护?很多时候,我们根本不知道它们已经出了问题,这才是最大的危险。”
防毒软件公司McAfee每年会公布“网络最危险明星榜”,最近出炉的本地名单,榜首竟然是马国女星杨紫琼,其他华人明星如赵薇(第7名)、黎明(第9名)和张惠妹(第10名)也榜上有名。
随着智能手机的普及化,全球有越来越多人使用手机上网,人数大大超越电脑用户。国大计算机学院计算机科学系副教授张亦坚说,手机操作系统具有“应用隔离”设计,就算一个应用搭载了恶意软件,也无法从其他应用窃取资料,因此从这角度来看,手机会比电脑安全。
2017年就发生了一起名为“WireX僵尸网络(botnet)攻击事件”。专家发现谷歌Play应用商店里至少有300个普通应用受僵尸网络病毒感染,用户一旦安装,就无意中帮黑客进行“分布式阻断服务攻击”(DDoS)。当时遭入侵的安卓设备大约14万部,来自上百个国家,这些设备在晚上充电时会传送伪造包或垃圾封包,将目标网站的频宽或资源耗尽,使目标网站瘫痪。幸好全球几家大型网安公司及时发现,一起合作把受病毒感染的应用下架,才避免一场灾难。
连大机构和政府机关也难以幸免。今年5月,新加坡红十字会网站遭外人入侵,4000多名捐血者的个人资料外泄;今年3月,卫生科学局的血库数据出现网络安全漏洞,其网络服务商把超过80万名捐血者资料放在面向互联网的网络服务器长达九星期;去年6月,新保集团遭海外黑客入侵,约150万名病人的个人资料被盗,当中包括李显龙总理与数名部长的配药记录,是我国历来最大规模的网袭事件。
VPN是Virtual Private Network的缩写,指的是“虚拟私人网络”。连接公共WiFi时用VPN能有效防范中间人攻击,因为VPN在用户和连接对象之间建立一条加密通道,能防范数据被拦截、盗窃或篡改。
费尔南多以星巴克的无线网络(WiFi)为例:“你在星巴克搜寻无线网络时,会看到有星巴克名字的网络,但是没有人会问这到底是真的星巴克WiFi,还是别人冒充的。为了连接免费网络,消费者通常不会太注意手机的安全提示或短信,而是很快点击确认按钮。罪犯这时就可以在中间拦截用户数据,如他们网购、银行交易、信用卡等细节。”
经常更新手机和电脑操作系统及应用
物联网将扩大网袭影响
网络安全小贴士
别重用密码
他建议人们使用密码管理软件(password manager),把所有密码集中起来管理,软件可为每个账号设定不同的复杂密码,因此即使一个账号被入侵也不会影响其他账号。用户不须记住所有密码,只须要记得密码管理软件的主密码就行。
张亦坚副教授说:“人们喜欢在社交媒体分享一些个人资料,如跑步路线、打卡地点、住家照片等,这些容易让罪犯摸清你的生活习惯,他们可以趁你出外运动时到你家偷窃等。”
阿卡迈亚太区(Akamai APJ)高级安全技术及策略总监费尔南多瑟托(Fernando Serto)说:“现在很多阿公阿嫲或儿童使用手机,但他们并不了解网络风险,也不理会手机的安全提示。有很多人没有更新手机应用,一再拖延,导致手机的安全漏洞没被补上。”
张亦坚总结说:“任何一个联网设备都可能被黑客入侵,人们必须清楚了解这些威胁,评估风险,并做好准备应对最坏情况。”
连接公共WiFi时用VPN
“钓鱼”(phishing)是网络罪犯最常用的网袭手段。罪犯会发送声称来自有信誉机构或人士的欺骗性邮件或短信,博取收件人信任,意图引诱收件人点击链接到仿冒网页或下载附件,提供个人资料、财务账号和密码等。
沙什沃特说:“网络罪犯喜欢用钓鱼方式,因为它很容易展开大量攻击,撒网范围很大,能捉到很多‘鱼’。他们把钓鱼电邮寄给10万人,就算只有1%的人受骗,仍可以获得很多好处。”
现在是社交媒体的时代,人人都爱用社交媒体,网络罪犯看准人们的习惯,也改变了“钓鱼”方式。费尔南多说:“消费者现在对钓鱼电邮比较小心,不过社交媒体上很多游戏、问答比赛等,也有危险。例如罪犯会要求用户回答问题赢取免费手机,借此搜集他们的个人资料,而消费者看到可以赢奖自然会降低戒心,更愿意分享这些资料。”