iPhone Apps 首次中招：專家分享避開網釣攻擊方法

日前至少 39 個 iOS 應用程式被確認受到由黑客植入惡意程式的
開發程式 Xcode 感染，包括全球最受歡迎通訊程式之一的微信及叫車應用程式滴滴打車。受影響的程式會非法收集用戶資料，甚至要求用戶輸入 iCloud 密碼。這是蘋果公司旗下的 iCloud 首次遭到的大規模攻擊，更將影響多達 5 億 Apple 用戶。然而，釣魚式攻擊（網釣）已不是甚麼新鮮事。

今年年初，前保安局局長葉劉淑儀亦成為網釣的受害者之一，她打開了一個自稱由朋友寄來的電郵附件，令其銀行戶口被無故轉帳了 50 萬港元。上月，共 5 間香港銀行收到標榜與它們有關的詐騙電郵報告，即每星期有一至兩次！

網釣是一個惡意網絡行為，犯罪分子透過電子通訊去欺騙一些沒有戒心的人提供資料。例如，約會網站 Ashley Madison 最近因黑客入侵，導致 3600 萬名用戶資料外洩，有犯罪分子看準時機，以電郵敲詐網絡用戶，聲稱擁有其資料，並要求贖金。

除了鍵盤監聽 (key-logging)、表格攫取(form-grabbing) 及間諜軟件 (spyware) 這些常見的網釣手法外，愈來愈多設計得與真實官方網站十分相似的虛假網站出現。根據香港電腦保安事故協調中心的報告，本年度第 2 季的網絡詐騙案急劇上升了 168% 至 7,836 宗。香港政府早於年頭提醒市民加強採取相關的保安措施，但仍未能阻止罪案率急升，情況令人擔憂。

儘管社會上有愈來愈多網絡騙案的報導，大眾好像都不以為然，只顧在網絡上獲取資料，而忽視個人資料外洩的危機。

去年，Sony 影視娛樂已示範了忽視網釣的後果，其員工因開啟了詐騙電郵，令公司的電腦系統被黑客入侵。事件對 Sony 影視娛樂造成巨大的財務損失，使它花了 1500 萬美元去修補黑客入侵造成的系統損害。

消費者必須採取正確的預防措施，以防被詐騙，或造成財務或聲譽上的損失。公司企業則需要教導員工，應避免點擊進入電郵中的網絡連結，而應直接鍵入網址。網絡用戶遇到有網站要求個人資料或證明時，亦需要提高警覺。現時，犯罪分子手法愈來愈高明，即使有一次性密碼亦不足夠保障資料安全。

總而言之，主動採取保安措施對於個人或公司機構十分重要，此舉除了可保護網上應用程式的資料，更能保障機構的客戶或員工遭到網絡詐騙或長遠的財務損失。這類的預防性措施只需要使用一個多層保障的方法便可做到，如監測網絡的不尋常表現，以免其受到網絡欺詐，或設定網上購物或銀行轉帳時，需要雙重認證等。

作者為 F5 Networks 台灣暨香港區高級技術總監莊龍源

F5 Networks 台灣暨香港區高級技術總監莊龍源先生常駐香港，負責生意伙伴體系的科技研發及管理，以及推動區內業務增長。在加入 F5 之前，莊先生曾於 Regional System Integrator 分別擔任系統工程師和技術方案顧問，負責項目和產品研發，以及推動新技術和解決方案。 莊先生於資訊科技業累積逾 20 年經驗，在流量管理及網路 Layer 7 保安措施等領域擁有廣泛的知識，他亦是開發第一代伺服器負載平衡、網絡代理伺服器和網絡防火牆的先驅之一。 莊先生持有愛爾蘭國立大學資訊科技學士學位，以及白帽駭客認證（CEH）。