資訊安全貼士 (2024年9月號) – 保護個人資料以避免身份被盜用

現今數碼時代,保護個人資料變得尤為重要。身份被盜用可能導致財務損失、聲譽受損,甚至法律責任。因此,我們必須採取適當的措施來保護個人資料,避免身份被盜用,與此同時,保護他人的身份亦同樣重要,這樣可以防止自己及他人遭受不必要的損失和困擾。以下是一些有效的方法:

  1. 把資料加密及適時刪除:
  2. 謹慎傳送和分享資料:
    • 傳送/回覆/轉發電郵之前,請謹慎校閱收件人電郵地址、電郵內容及附件中所載之內容是否正確。另外,當您透過電腦系統分享資料時,請檢查系統的權限設置是否正確。
  3. 啟動雙重認證服務及使用強密碼:
    • 使用雙重身份驗證(2FA)和強密碼,並為不同賬戶設置不同的密碼。
  4. 更新系統並啟用防病毒軟件:
    • 保持操作系統、瀏覽器和軟件更新,並啟用實時保護並定期使用防病毒軟件掃描。
  5. 小心使用公共WiFi網絡及電腦設備:
    • 請假設公共WiFi網絡及電腦設備是不安全的,在連接到公共網絡或使用公共電腦設備時,避免處理個人資料或進行銀行交易。

此外,還需警惕釣魚詐騙,不僅金錢,個人資料也是騙徒的目標之一,請大家務必提高警惕。

資訊安全貼士 (2024年7月號) – 確保外遊安全的重要提示

以下是一些網絡安全的提示:

  1. 更新移動設備的軟件,包括防病毒軟件,因這些更新通常包含安全修復。
  2. 使用強密碼,避免使用容易被猜到的密碼。
  3. 啟動多重認證服務來保護您的各種帳戶。
  4. 出發前為資料進行完整備份
  5. 啟動移動設備的防偷竊及遠程消毁資料功能
  6. 停用移動設備的Wi-Fi和藍牙自動連接功能。
  7. 使用公共Wi-Fi或公共電腦時要謹慎,避免在這些系統上輸入密碼或機密信息。
  8. 如果需要在公共Wi-Fi上訪問大學內部資訊,請使用VPN
  9. 對周圍環境保持警覺,注意你在何處以及如何使用你的設備。
  10. 保護好你的移動設備,絕不要在公共場所留下它,並啟用加密功能,包括任何USB或外部存儲設備。

請記住,網上安全與外出時的實際安全同樣重要。讓我們在日常生活中養成網絡安全的習慣,保持安全,保護好自己,享受愉快的旅程!

資訊安全貼士 (2024年5月號) – 使用公有 AI 平台時須注意的安全事項

人工智能 (AI) 平台為使用者提供了各種強大的工具和服務,可幫助他們完成各種任務,從資料分析到機器學習。然而,在使用公有 AI 平台時,需要注意一些安全風險

以下是一些安全提示,可幫助您保護您的資料和隱私:

  1. 選擇可信賴的平台:選擇信譽良好的平台,並研究其安全性和合規性記錄。
  2. 了解平台的隱私政策:在使用平台之前,請閱讀其隱私政策。了解平台如何收集、使用和共享您的資料。
  3. 注意您分享的資料:僅分享您需要完成任務的資料。避免分享任何敏感、機密資料、未公開的工作資料或研究成果
  4. 使用強密碼並啟用雙因素驗證:為您的帳戶創建強密碼並啟用雙因素驗證
  5. 注意網路釣魚和詐騙切勿點擊可疑連結或在未經驗證的網站上輸入您的帳戶資訊。
  6. 保持軟體更新:將您的作業系統和 AI 平台軟體更新到最新版本
  7. 報告可疑活動:如果您發現任何可疑活動,請立即報告給 AI 平台的支援團隊。

通過遵循這些安全提示,可以幫助保護您的資料和隱私,同時安心使用公有 AI 平台。如您需要「人工智能私隱」及「資料匿名化處理」進一步的資訊,
可參考澳門個人資料保護局翻譯及發佈的相關資訊: https://www.dspdp.gov.mo/zh_tw/references_detail/article/kzw3p0kz.html

資訊安全貼士 (2024年3月號) – 確保系統安全的建議

在當今數字化的環境中,確保系統的安全至關重要。通過遵循以下建議,您可以顯著提高系統和數據的保護程度。

  1. 啓用强密碼認證:使用强密碼,並考慮其他身份驗證機制,如多因素身份驗證(MFA),以在訪問系統時增加額外的保護層。
  2. 使用SSH密鑰對:生成並使用SSH密鑰對進行安全的遠程訪問。與傳統基於密碼的身份驗證相比,這種方法提供了更强的加密和身份驗證。
  3. 保持系統更新:定期更新系統以獲取最新的安全補丁和軟件更新。這些更新可以解决已知的漏洞,以避免受新興威脅影響。
  4. 移除不必要的軟件:通過卸載任何不必要或未使用的軟件來减小攻擊面。這些軟件可能存在漏洞,被攻擊者利用。
  5. 禁用管理員登錄:禁用直接的管理員登錄(例如,“administrator”,“admin”,“root”),並强制使用單獨的用戶賬號。這有助於限制訪問並降低未經授權訪問關鍵系統資源的風險。
  6. 檢查和關閉開放端口:定期掃描系統的開放端口,並關閉任何不必要或未使用的端口。開放的端口可以作爲攻擊者的入口點,因此限制其可用性至關重要。
  7. 啓用防火牆:設置防火牆以控制入站和出站的網絡流量。正確配置的防火牆可以過濾惡意流量,並保護系統免受未經授權的訪問。
  8. 使用SELinux或AppArmor加固Linux系統:實施安全增强型Linux(SELinux)或AppArmor以强制執行嚴格的訪問控制,並限制攻擊對系統的影響。
  9. 安全審計:定期進行安全審計,以識別漏洞,評估系統配置,並確保符合安全政策和標準。
  10. 定期創建和維護備份:定期備份關鍵數據,以减輕系統故障、數據丟失或勒索軟件攻擊的影響。定期測試恢復過程以確保備份的完整性。

維護系統安全是一項持續的工作,保持對最新的安全威脅的瞭解,更新您的安全策略以及關於資訊安全的最佳實踐。

資訊安全貼士 (2024年1月號) – 別讓自己成為釣魚詐騙的下一個受害者

網上服務已經成為我們日常生活中不可或缺的一部分,因而網絡詐騙變得更加容易,涵蓋範圍更廣泛,包括購物、求職、投資、慈善、抽獎等等。粵語俗語有云「橋唔怕舊,最緊要受」,而很多傳統的騙局會以新瓶舊酒形式,在網路或電話上進行詐騙,手法千變萬化令人防不勝防。

任何騙局萬變不離其宗,誘騙用戶帳號、密碼或個人資料,最終目的離不開騙取受害者的金錢。只要提高安全意識,凡事務必「事實查核Fact Check」,便可減低受騙風險,緊記以下防騙三大原則:

  1. 保持冷靜,不要慌張:因為騙徒透過電話、短訊或電郵,利用帶有威嚇性言詞,令受害人方寸大亂,因而墮入騙局陷阱。尤其自稱執法部門、政府或銀行。只要停一停!想一想!想辦法借機拖延時間確認事件真偽,或找親友商量。
  2. 便宜莫貪:千萬不要被「執輸行頭,慘過敗家」的心態蒙蔽頭腦,世上沒有免費午餐,遇到有任何促銷優惠或投資機會,務必不厭其煩了解清楚及查明真偽,以免因小失大。
  3. 切勿隨便透露個人資料:個人資料等同金錢,財不可以露眼,個人資料亦不應隨便透露,最終被盜用的不是您的資料而是您的個人身份,再被用作詐取金錢或進行不法活動!

日常要多留意防騙資訊,習慣成自然地提高防騙意識,便不會被騙徒有機可乘。以下是一些詐騙訊息例子,供大家參考一下:

 

假冒即時通訊軟件短訊通知,內容帶有令人不安言詞。但必須注意一點,連結中的“w”字母,其實是由兩個字母 “v”魚目混珠冒充。

 

 

 

可疑陌生人短訊,可能會透過社交工程,進行各色各樣詐騙,可能會利用「放長線釣大魚」的手法,長時間與受害人溝通以博取好感,是騙取鉅額金錢的手段。

 

騙取驗證碼是常見盜用他人帳戶的方法,如通訊軟件,銀行轉帳等。實際上,驗證碼用於個人身份或帳戶操作驗證,屬於個人私隱,請勿洩露。其實借用他人電話號碼作驗證是非常不合理的事情,而對方帳戶極可能已被盜用。

資訊安全貼士 (2023年11月號) – 守護數位資產: 數據備份指南

重要資料遺失時有發生,及時為數據備份是防止設備故障或數據損壞而造成資料遺失的重要手段,以確保珍貴的資料不會永遠遺失。數據備份還為網路攻擊(尤其是勒索軟件攻擊)提供最後一道保護防線,讓您可以快速恢復數據並回復日常運作。正確地備份數據還可以保護敏感的個人和財務資料,免受未經授權的存取或洩露。

基本的數據備份實踐:

  1. 定期備份:安排定期備份以確保您的數據是最新的。對於關鍵數據,建議每天進行備份,而對於不經常更新的文件,可能每週或每月備份就足夠了。
  2. 保留多個備份副本:將備份的多個副本儲存在不同的儲存裝置上,例如外部硬碟、雲端存儲,甚至是實體副本。這種冗餘能確保即使其中一個儲存媒體發生故障,您的數據仍然得以保留。當使用雲端存儲時,必須注意服務的安全性及資料保護設置,並考慮哪些資料適合存儲在雲端。
  3. 妥善放好存儲裝置:將備份存儲裝置妥善存放,遠離火源或水源等物理危害。對於雲端存儲,請選擇具有健全安全措施及信譽良好的供應商。
  4. 定期測試備份:透過定期測試備份來驗證備份的完整性,以確保在需要時可以還原數據。
  5. 密碼保護:使用密碼保護您的備份裝置以防止未經授權的存取。此外,還可以考慮加密備份以增強安全性。

數據備份並不是一次性的任務,而是一個持續的過程。透過以上基本而有效的實踐,可以保護您的寶貴數據免於遺失,並確保您的個人資料和工作資料得到保障。

資訊安全貼士 (2023年10月號) – 注意勒索軟件攻擊

勒索軟件攻擊是近年最普遍的網絡攻擊類型之一。攻擊者利用各種網絡入侵技術或通過偽冒、詐騙等手段,向目標機構及用戶投放勒索軟件程式,加密受感染電腦系統的數據資料,使受影響系統無法正常運作,從而向受害者勒索金錢等經濟利益。與此同時,有些攻擊者還會在過程中竊取數據資料,並以公開其中的機密數據來威脅受害者,以增加受害者作出妥協的可能性。

採取以下安全措施來防範勒索軟件攻擊:

  1. 提防釣魚及病毒電郵,不要隨便打開附件或網頁連結:
    攻擊者會發送含有惡意程式的釣魚電郵附件或網頁連結,一旦打開,便會感染您的電腦系統; 

     

  2. 提防社交工程,不要輕信陌生人或未核實身份的人士:
    他們會假冒政府官員、客服、銀行員工等,誘使您下載或安裝來歷不明軟件,甚至協助他們進行勒索軟件攻擊; 

     

  3. 安裝防毒軟件, 開啟即時防護及監控功能:
    不管是通過便攜式數據儲存設備(如USB、移動硬盤等)或是電郵進行傳播,當勒索軟件程式被安裝或執行時,防毒軟件的即時防護功能可有效地把它們攔截; 

     

  4. 經常進行軟件更新,讓防毒軟件保持在最新狀態:
    這樣可避免攻擊者利用軟件存在的安全漏洞來進行攻擊,同時,最新的防毒軟件特徵庫,能更有效地檢測及攔截可疑的軟件程式; 

     

  5. 保護好您的用戶密碼,啟動多重認證服務及使用強密碼:
    他們會利用外洩的帳號或通過暴力破解等技術手段,遠程登入您的電腦系統以安裝勒索軟件程式; 

     

  6. 定期備份資料,確保能夠從備份中還原文件:
    就算數據資料被加密,也可從備份中還原,大大減低數據遺失的機會。

資訊安全貼士 (2023年9月號) – 注意魚叉式網路釣魚

  • 何謂魚叉式網路釣魚攻擊?

魚叉式網路釣魚(Spear Phishing是專門針對特定對象的網路釣魚(Phishing,其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。

雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已,實質是針對性攻擊/鎖定目標攻擊(Targeted attack ) 

  • 魚叉式網路釣魚如何運作?

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如機構網站、 TwitterFacebook LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且可能在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其秘密通訊網路,然後朝攻擊的下一階段邁進。

  • 如何防範魚叉式網路釣魚?

為防範網路釣魚,學校已設置了多層次防護,來讓系統管理員確切掌握及掌控網路的狀況,進而降低針對性攻擊的風險,防範各種攻擊途徑。除此之外,更重要的是依賴員工及學生的資訊安全意識懂得觀察郵件內的拼字錯誤、奇怪用詞,以及其他可疑的徵兆,就能預防一定程度的魚叉式網路釣魚。

資訊安全貼士 (2023年8月號) – 注意騙徒利用人工智能技術之詐騙活動

近日有報道指出,有騙徒利用人工智能深度偽造技術進行詐騙活動,包括製作假新聞推廣投資活動,或冒充名人移花接木後製影片,引誘受害人參與虛假投資活動。另外,不排除騙徒還會使用相關技術,冒充您的朋友或家人進行視像會議或語音通話進行釣魚詐騙。

您可以採取以下步驟來保護自己免受釣魚詐騙的威脅:

  1. 保持警覺和冷靜:
    • 處理對方提出的緊急要求時必須保持冷靜,尤其是涉及財務交易或投資的要求。若有所謂「親友」在視訊或錄音中提出匯款要求,要特別警惕。
  2. 驗證身份:
    • 涉及資金交易或個人資料時,務必驗證對方的身份。通過另一獨立的渠道與朋友、家人或相關機構進行聯繫,確認其身份和要求的真實性
  3. 留意破綻:
    • 透過閒聊提問方式嘗試驗證對方身份,騙徒可能會露出破綻。
  4. 保護個人資料:
    • 除一般個人資料外,還有切勿輕易提供人臉、指紋、聲音等生物辨識資料
  5. 不要輕易相信網上資訊:
    • 包括標有「已Fact Check」或「已證實」等標語的消息。如懷疑是假資訊,應避免轉載,並向有關機構查詢。

雖然不法分子會不時改變詐騙方式,但萬變不離其宗,騙徒目的離不開誘騙用戶帳號和密碼、個人資料或金錢,只要用戶時刻保持警覺,謹記「停一停、想一想、查真偽!」,便不會被不法分子有機可乘。

資訊安全貼士 (2023年7月號) – 如何安全地丟棄個人資訊設備

當您打算丟棄舊的個人資訊設備(例如電腦、智能手機、平板電腦或外置儲存裝置)時,懂得正確的處理步驟是非常重要的。這有助於保護您的隱私和資訊安全,以至保護自然環境。

您可以採取以下步驟來安全地處理舊的個人資訊設備:

  1. 備份數據:
    • 在丟棄設備之前,請確保備份所有重要數據和文件。 您可以使用外部硬盤或雲存儲來存儲數據。
  2. 取消訂閱或解綁帳戶:
    • 如有任何訂閱服務或捆綁帳戶,應先行取消訂閱或登出所有捆綁帳戶
  3. 擦除設備中的內容:
    • 在丟棄設備之前,請務必將設備中的內容擦除。 這意味著從設備中刪除您的所有個人數據和文件。
  4. 取出 SIM 卡和存儲卡:
    • 如果您的設備有 SIM 卡或存儲卡,請務必在丟棄設備之前將其取出
  5. 銷毀設備(如有必要):
    • 如果您的設備上有敏感數據且不希望其他人訪問,您可以銷毀該設備
  6. 回收設備:
    • 一旦確認設備中內容已被清除,您可以通過所在地的回收公司或組織進行回收,例如澳門環境保護局(DSPA),該局正在推廣電子及電器設備回收計劃。
  7. 別忽視一些家居中的設備:
    • 如電視盒、電視或手提遊戲機等,當中可能含有信用卡及個人資料,務必小心處理。

無論您選擇如何處置您的個人資訊設備,請務必以負責任的方式進行。

參考資料
環境保護局 (DSPA)
如何正確準備處置您的電腦
如何將 iPhone、iPad 或 iPod touch 恢復出廠設置
如何將 Android 設備重置為出廠設置