手機網購 小心黑App 駭客下一站攻擊目標--雲端

4月初有調查指出，網上購物已成為港人不可或缺的生活方式，66.4%受訪者曾網上購物，95.3%擁有可上網手機的本地受訪者中，每10位便有4位曾以手機網購，比例由前年的24.6%增至去年的40.9%。但在這個價值近37億元(港元，下同)的流動市場背後，其實暗藏殺機，有數碼資訊安全公司的研究報告指，單去年就發現有超過4000個網絡釣魚網址是針對流動裝置而設計，其中網民最常用的eBay及PayPal，常被假冒，一不小心就會中招。

香港《文匯報》報導，的確，隨著智能手機愈來愈普及，不管你是足不出戶，還是沒有電腦，只要你有手機和網絡，也可盡情消費，不少熱門購物網站，如淘寶及eBay都推出了手機App。數碼資訊安全廠商趨勢科技本月初公布的研究就發現，在2012年，所有的流動裝置網絡釣魚網址當中，有43%為假冒知名的銀行或金融機構網站。PayPal和eBay就成為最常被假冒的對象之一，網絡支付平台PayPal被假冒次數更高達18947次；另外銀行或金融機構網站，Visa及花旗銀行亦分別被黑客假冒過1661及1628次，情況嚴重。

趨勢科技香港區技術經理陳貴強指出，一旦用戶受騙，在釣魚網站上提供帳號和密碼，不法分子就會暗中進行金融交易，或用受害者的帳號購物，不但會引致金錢損失，帳號更可能被冒用作從事不法行為。資訊保安公司FireEye銷售工程師王潤霖就舉出例子，「當駭客瀏覽過交易資料後，將會假扮成近日促成交易的商業夥伴，要求企業匯款到指定戶口。」

香港手機用戶人數位居世界前列，根據早前PayPal網上及流動購物調查研究指出，2012年香港智能手機滲透率已高達62%，其中香港流動商貿總額單一年就升了4倍，共64億元，當中智能手機購物總額為37億元，另外有27億元則透過平板電腦交易。

不只網絡釣魚網址，香港電腦保安事故協調中心也發現，駭客亦看上了手機短訊或應用程式(App)市場，並會借手機短訊或App騙取金錢。這個問題，以大陸的情況最為嚴峻，並有延至香港的跡象，當中已有往來大陸及香港頻繁的商人成為受害者。電腦保安事故協調中心經理古煒德表示，「當用戶回覆短訊或下載問題App時，黑客便乘機收取金錢，或在用戶下載過程中，透過程式偷取手機資料，然後病毒就會潛伏在手機內，隨手機電話簿，或分享資料時向外散播。」

在香港一家貿易公司工作的P小姐，到深圳公幹後就曾被騙取漫遊上網費2000多元。後來才發現原來手機因她曾在論壇上下載的一個小遊戲而中毒，駭客可利用其手機私自下載，消耗流量。另外，中國公安部官方微博上也曾公布案例指，廣東黃先生買了帶有惡意程式的手機，因此在一個月內不見了40多萬的話費。而古煒德亦稱，「手機失竊不但直接令用戶儲存於手機內的個人資料外洩，而且不法之徒更可利用失機撥打長途電話，使機主蒙受金錢損失。」

不只是網上購物，即使是普通的分享，如果安全意識稍有不足，也可能引起駭客覬覦。香港電腦保安事故協調中心提醒市民要慎用定位功能，以策安全。古煒德指出，有一些駭客會跟蹤某些在facebook「打卡」的用戶，當得知他已外出，就有機會入屋爆竊。就新興的雲端服務，古煒德擔心或會成為下一目標。

今年3月，大陸瀏覽器廠商360公司發布的《2012年瀏覽器安全與發展形勢報告》指出，雲端儲存帳號無法防範黑客拖庫(駭客通過入侵企業網絡，複製竊取用戶數據庫、財務數據等)，即「雲攻擊」等問題。在全球擁有5000萬名用戶的雲端筆記軟件系統Evernote在當月亦遭到駭客襲擊，部分用戶名稱、電郵地址和加密密碼被駭客盜取。 (接下頁)

[NT:PAGE=$]

中國美國商會同月在北京公布了一項調查報告，指在該會的美商會員中，高達26%的會員遇過機密資料失竊情況。美國眾議員魯珀斯柏格(DUTCH RUPPERSBERGER)對此表示，美國企業因商業機密遭竊問題，在去年總計損失約3000億美元，當中大部分是中國駭客所為。所以香港電腦保安事故協調中心提醒，機構在開始儲存大量資料到伺服器前應先對提供服務的公司作風險評估，並避免上載敏感資料或客戶個人資料至雲端。

大陸與香港商貿頻繁，淘寶網香港區用戶在過去2年就激增近2倍，因此中國的網購詐騙情況亦不可忽視。在更盛行網購的內地市場，網路詐騙的金額和情況更為嚴重。從中國電子商務協會等部門發表的《2012年中國網站可信驗證行業發展報告》顯示，假貨氾濫和虛假宣傳是內地網路購物詐騙的主要伎倆，當中例子包括，仿冒熱門名站的網頁，和製造虛假人氣等。截至2012年6月底的1年內，在1.94億中國購物用戶中就有31.8%曾直接遭遇詐騙網站，網購遇騙規模達到6,169萬宗。保守計算，每年詐騙網站對網友造成的損失不低於308億元。

大陸及香港交易頻繁，加上「淘寶」等網購網站，已成功打進香港市場，保守估計港人每天「淘寶」逾千萬元。另外，中國招商銀行已率先推出了手機應用程式，手機流動裝置購物和移動金融將可成為未來發展的新方向。在這個新方向上，港人更應防範黑客，因為香港警察不能向境外網站執法。大律師陸偉雄表示，「在發現假網站後，警方若要採取行動，也得先證實有關網站是設於香港境外還是境內。」除非證實網站的位置及負責人是在香港境內犯案，否則就需透過當地執法部門處理，香港警方無權執法。

七步遠離駭客陷阱

1. 使用官方App

市民應從網絡銀行或購物網站的官方網址中下載App，並避免隨便下載和安裝聲稱是「免費」的軟件、音樂、影片。這樣不法分子就不能輕易透過網絡釣魚等手法偷取個人資料。

2. 安裝防護軟件

手提裝置的功能已非常接近一台迷你電腦，流動安全防護軟件，能保護行動裝置與資料安全，不僅能發現並攔截來自網絡釣魚的威脅，還能防止惡意或高風險的網址和App。

3. 勿開可疑電郵

來歷不明的郵件，以及當中的連結和附件檔案都可能是惡意的，千萬不要一時好奇，而成為黑客下手的目標。

4. 電郵驗證網址

雖然一般網站都會利用電子郵件進行驗證，但這也是網絡釣魚郵件一貫的手法。在點選電子郵件內附的網址前，請務必再次確認網址是否正確。

5. 顯示完整網址

應完整顯示瀏覽器網址內容，並看看網址內是否有拼錯或多餘的字。

6. 收藏常用網站

為減少因為拼錯字而誤觸網絡釣魚網站的機會，大家可將常用的網站加入書籤。

7. 更新手機程式

時刻把手機的作業系統、瀏覽器、Java、Flash、PDF等程式保持在最新版本，以更有效防止系統因保安漏洞而被駭客攻擊及導致其他安全問題及威脅出現。　

資料來源：趨勢科技/香港文匯報