近期資料外洩事故頻生,澳洲航空(Qantas)一個第三方服務平台更因遭受社交工程攻擊,導致 570 萬客戶資料被盜,其中約 20,000 名香港客戶受到影響。外洩的姓名、電話及地址等資料,恐令受害人面臨釣魚攻擊與詐騙風險。目前個人資料私隱專員公署已接獲通報並就事件展開調查。
黑客通過澳洲航空第三方服務供應商在菲律賓的客服中心,利用社交工程等手法(如語音釣魚),誘騙第三方服務供應商的工作人員授予訪問權限,從而竊取客戶資料。事件突顯供應鏈攻擊日益普遍帶來的風險。黑客往往會針對第三方服務供應商的漏洞,藉此作為攻擊更大型機構的跳板。即使是中小企,假如忽視自身的網絡安全防護,亦可能會成為網絡攻擊的對象。
與此同時,香港蔬菜統營處(菜統處)近日有部分電腦系統遭受勒索軟件攻擊,導致其中一個批發市場用戶的資料有外洩的風險。菜統處現時已委托外判承辦商,盡快修復系統並協助調查工作;網絡安全供應商 F5 近日亦公布過去八月,其內部系統遭受長期持續性網絡攻擊。黑客從中盜取其產品的原始碼和未向外公布的系統漏洞,估計黑客有利用外洩的資料策劃對其產品用戶作網路攻擊。這些事件均可見使用第三方服務供應商的風險,及鞏固網絡安全措施的重要性。鑑於事件的規模和潛在威脅,為預防第三方網絡風險,以及加強自身網絡安全,香港網絡安全事故協調中心 (HKCERT) 建議用戶和中小企採取以下措施:
- 時刻提防釣魚攻擊
時刻核實電子郵件的發件人,並避免點擊任何可疑連結。對於緊急或異常的請求要保持警惕,立即向你的 IT 或電腦安全團隊報告可疑訊息。如欲了解更多有關預防釣魚攻擊的措施,可瀏覽: https://www.hkcert.org/tc/publications/all-out-anti-phishing
- 啟用多重因素驗證,加強帳戶保安
網絡服務商會提供多重因素驗證選項,要求用戶輸入驗證碼或額外授權才讓其登入,以免當用戶不慎洩露密碼給黑客後而被盜用帳戶。同時,企業應加強培訓員工,防止多重因素驗證驗證碼洩露予他人的行為,不同帳戶間亦不應該使用相同密碼。
- 審慎選用免費及開源軟件
免費或開源工具雖有成本優勢,但若企業未經審查便使用,則容易引入漏洞。因此,企業應選用信譽良好的軟件,並對引入的軟件進行安全審查。
- 定期更新系統
所有系統、應用程式及裝置應保持最新版本,並及時安裝安全補丁,以堵塞漏洞。
- 提升社交工程防範意識
透過社交工程進行的攻擊屢見不鮮,機構應定期為員工提供培訓,提升其識別釣魚電郵及可疑來電的能力,減少人為疏忽導致資料外洩的風險。
四大措施保障自身安全
澳洲航空雖已確認事件中並未涉及客戶的財務資料、護照信息或帳戶密碼。然而,敏感個人資料被洩露至暗網可能引發身份盜用、釣魚攻擊及其他欺詐活動的風險。 HKCERT 強調主動防護個人資料刻不容緩,並建議受影響人士採取以下措施:
- 定期監控帳戶
定期檢查你的電郵、電話及財務帳戶是否有可疑活動。 若發現未經授權的交易或異常活動,請立即通報相關機構。
- 提防釣魚攻擊
對聲稱來自澳洲航空或相關機構的電郵、電話或信息保持警惕。 避免點擊可疑鏈接和小心處理可疑電郵、訊息及來電,切勿輕易提供個人或登入資料。
- 啟用多重身份驗證(MFA)
主要帳戶加設多重認證,提高安全層次。切勿與他人分享驗證碼。
- 定期更改密碼
定期更改所有重要帳戶的密碼,並避免多個帳戶共用同一密碼。
如欲了解更多帳戶安全的建議,請瀏覽:
