資訊安全貼士 (2023年11月號) – 守護數位資產: 數據備份指南

重要資料遺失時有發生,及時為數據備份是防止設備故障或數據損壞而造成資料遺失的重要手段,以確保珍貴的資料不會永遠遺失。數據備份還為網路攻擊(尤其是勒索軟件攻擊)提供最後一道保護防線,讓您可以快速恢復數據並回復日常運作。正確地備份數據還可以保護敏感的個人和財務資料,免受未經授權的存取或洩露。

基本的數據備份實踐:

  1. 定期備份:安排定期備份以確保您的數據是最新的。對於關鍵數據,建議每天進行備份,而對於不經常更新的文件,可能每週或每月備份就足夠了。
  2. 保留多個備份副本:將備份的多個副本儲存在不同的儲存裝置上,例如外部硬碟、雲端存儲,甚至是實體副本。這種冗餘能確保即使其中一個儲存媒體發生故障,您的數據仍然得以保留。當使用雲端存儲時,必須注意服務的安全性及資料保護設置,並考慮哪些資料適合存儲在雲端。
  3. 妥善放好存儲裝置:將備份存儲裝置妥善存放,遠離火源或水源等物理危害。對於雲端存儲,請選擇具有健全安全措施及信譽良好的供應商。
  4. 定期測試備份:透過定期測試備份來驗證備份的完整性,以確保在需要時可以還原數據。
  5. 密碼保護:使用密碼保護您的備份裝置以防止未經授權的存取。此外,還可以考慮加密備份以增強安全性。

數據備份並不是一次性的任務,而是一個持續的過程。透過以上基本而有效的實踐,可以保護您的寶貴數據免於遺失,並確保您的個人資料和工作資料得到保障。

資訊安全貼士 (2023年10月號) – 注意勒索軟件攻擊

勒索軟件攻擊是近年最普遍的網絡攻擊類型之一。攻擊者利用各種網絡入侵技術或通過偽冒、詐騙等手段,向目標機構及用戶投放勒索軟件程式,加密受感染電腦系統的數據資料,使受影響系統無法正常運作,從而向受害者勒索金錢等經濟利益。與此同時,有些攻擊者還會在過程中竊取數據資料,並以公開其中的機密數據來威脅受害者,以增加受害者作出妥協的可能性。

採取以下安全措施來防範勒索軟件攻擊:

  1. 提防釣魚及病毒電郵,不要隨便打開附件或網頁連結:
    攻擊者會發送含有惡意程式的釣魚電郵附件或網頁連結,一旦打開,便會感染您的電腦系統; 

     

  2. 提防社交工程,不要輕信陌生人或未核實身份的人士:
    他們會假冒政府官員、客服、銀行員工等,誘使您下載或安裝來歷不明軟件,甚至協助他們進行勒索軟件攻擊; 

     

  3. 安裝防毒軟件, 開啟即時防護及監控功能:
    不管是通過便攜式數據儲存設備(如USB、移動硬盤等)或是電郵進行傳播,當勒索軟件程式被安裝或執行時,防毒軟件的即時防護功能可有效地把它們攔截; 

     

  4. 經常進行軟件更新,讓防毒軟件保持在最新狀態:
    這樣可避免攻擊者利用軟件存在的安全漏洞來進行攻擊,同時,最新的防毒軟件特徵庫,能更有效地檢測及攔截可疑的軟件程式; 

     

  5. 保護好您的用戶密碼,啟動多重認證服務及使用強密碼:
    他們會利用外洩的帳號或通過暴力破解等技術手段,遠程登入您的電腦系統以安裝勒索軟件程式; 

     

  6. 定期備份資料,確保能夠從備份中還原文件:
    就算數據資料被加密,也可從備份中還原,大大減低數據遺失的機會。

資訊安全貼士 (2023年9月號) – 注意魚叉式網路釣魚

  • 何謂魚叉式網路釣魚攻擊?

魚叉式網路釣魚(Spear Phishing是專門針對特定對象的網路釣魚(Phishing,其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。

雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已,實質是針對性攻擊/鎖定目標攻擊(Targeted attack ) 

  • 魚叉式網路釣魚如何運作?

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如機構網站、 TwitterFacebook LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且可能在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其秘密通訊網路,然後朝攻擊的下一階段邁進。

  • 如何防範魚叉式網路釣魚?

為防範網路釣魚,學校已設置了多層次防護,來讓系統管理員確切掌握及掌控網路的狀況,進而降低針對性攻擊的風險,防範各種攻擊途徑。除此之外,更重要的是依賴員工及學生的資訊安全意識懂得觀察郵件內的拼字錯誤、奇怪用詞,以及其他可疑的徵兆,就能預防一定程度的魚叉式網路釣魚。

資訊安全貼士 (2023年8月號) – 注意騙徒利用人工智能技術之詐騙活動

近日有報道指出,有騙徒利用人工智能深度偽造技術進行詐騙活動,包括製作假新聞推廣投資活動,或冒充名人移花接木後製影片,引誘受害人參與虛假投資活動。另外,不排除騙徒還會使用相關技術,冒充您的朋友或家人進行視像會議或語音通話進行釣魚詐騙。

您可以採取以下步驟來保護自己免受釣魚詐騙的威脅:

  1. 保持警覺和冷靜:
    • 處理對方提出的緊急要求時必須保持冷靜,尤其是涉及財務交易或投資的要求。若有所謂「親友」在視訊或錄音中提出匯款要求,要特別警惕。
  2. 驗證身份:
    • 涉及資金交易或個人資料時,務必驗證對方的身份。通過另一獨立的渠道與朋友、家人或相關機構進行聯繫,確認其身份和要求的真實性
  3. 留意破綻:
    • 透過閒聊提問方式嘗試驗證對方身份,騙徒可能會露出破綻。
  4. 保護個人資料:
    • 除一般個人資料外,還有切勿輕易提供人臉、指紋、聲音等生物辨識資料
  5. 不要輕易相信網上資訊:
    • 包括標有「已Fact Check」或「已證實」等標語的消息。如懷疑是假資訊,應避免轉載,並向有關機構查詢。

雖然不法分子會不時改變詐騙方式,但萬變不離其宗,騙徒目的離不開誘騙用戶帳號和密碼、個人資料或金錢,只要用戶時刻保持警覺,謹記「停一停、想一想、查真偽!」,便不會被不法分子有機可乘。

資訊安全貼士 (2023年7月號) – 如何安全地丟棄個人資訊設備

當您打算丟棄舊的個人資訊設備(例如電腦、智能手機、平板電腦或外置儲存裝置)時,懂得正確的處理步驟是非常重要的。這有助於保護您的隱私和資訊安全,以至保護自然環境。

您可以採取以下步驟來安全地處理舊的個人資訊設備:

  1. 備份數據:
    • 在丟棄設備之前,請確保備份所有重要數據和文件。 您可以使用外部硬盤或雲存儲來存儲數據。
  2. 取消訂閱或解綁帳戶:
    • 如有任何訂閱服務或捆綁帳戶,應先行取消訂閱或登出所有捆綁帳戶
  3. 擦除設備中的內容:
    • 在丟棄設備之前,請務必將設備中的內容擦除。 這意味著從設備中刪除您的所有個人數據和文件。
  4. 取出 SIM 卡和存儲卡:
    • 如果您的設備有 SIM 卡或存儲卡,請務必在丟棄設備之前將其取出
  5. 銷毀設備(如有必要):
    • 如果您的設備上有敏感數據且不希望其他人訪問,您可以銷毀該設備
  6. 回收設備:
    • 一旦確認設備中內容已被清除,您可以通過所在地的回收公司或組織進行回收,例如澳門環境保護局(DSPA),該局正在推廣電子及電器設備回收計劃。
  7. 別忽視一些家居中的設備:
    • 如電視盒、電視或手提遊戲機等,當中可能含有信用卡及個人資料,務必小心處理。

無論您選擇如何處置您的個人資訊設備,請務必以負責任的方式進行。

參考資料
環境保護局 (DSPA)
如何正確準備處置您的電腦
如何將 iPhone、iPad 或 iPod touch 恢復出廠設置
如何將 Android 設備重置為出廠設置

資訊安全貼士 (2023年6月號) – 人工智能工具與資訊安全

人工智能(AI)是指能夠模擬人類智能的系統或裝置,通過大數據分析、機器學習等技術,實現自動化、優化和創新的功能。近年來,AI工具的發展和應用日益廣泛,為各行各業帶來了便利和效率。它能跟您聊天,也能生成文章、繪畫畫像、編寫電腦程式等等。在選擇和使用AI工具時,可參考以下一些注意事項:

  1. 只從官方及合法途徑取得AI 工具:
    • 黑客創建了假冒的 AI 應用程序及網站,誘使您下載及使用它們。然而,這些AI 應用程序可能是一個竊取您裝置數據的惡意軟件,也可能藉由向您收取服務費用,從而盜取您用來付費的信用咭及個人資料。
  2. 使用 AI 工具共享個人或機密資料時要小心:
    • 就算是使用知名的AI工具,在了解及同意其相關的隱私政策前,切勿提供任何個人或機密資料。您所提供的資料,可能會用來訓練 AI 模型,並可能包含在對其他人查詢的回應中,從而演變成資料外泄。
  3. 切勿隨意開啟電郵中的檔案及連結:
    • 黑客可借助AI工具來產生仿真度高,令垃圾郵件過濾器及真人也難以辨識的釣魚電郵。若您對電郵的內容或發送者有懷疑,切勿開啟當中的檔案及連結,也不要相信電郵中的聯絡方法。請先由可信的途徑確認電郵的真偽,如直接致電發送者,才作下一步行動或回覆。
  4. 不要完全相信AI工具生成的內容:
    • AI工具的好壞取決於它使用的數據,如果它所學習的數據陳舊、不完整或是錯誤的,則可能會生成不準確、不真實、違法或不道德的內容。因此,無論您從 AI 工具中獲得什麼內容,在使用及相信前務必仔細驗證
  5. 關注由AI工具生成的內容之版權:
    • AI工具所生成的內容也可能已經被其他人使用過,或者包含了其他人的版權內容

資訊安全貼士 (2023年5月號) – QR code的釣魚攻擊

「Quishing」是結合QR code的釣魚攻擊。當用戶掃瞄QR code後,便會進入釣魚網站。由於QR 只是一個圖像,現時的保安措施未必能識別是一個威脅,因此「Quishing」可能是日後一種攻擊的新常態。

使用QR code的保安小貼士:

  1. 流動支付:
    • 以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄;
    • 切勿隨便向他人透露流動支付服務所產生的QR code。
  2. 網頁瀏覽:
    • 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code;
    • 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後,每次掃瞄QR code都會彈出對應的URL,待你確認才會連接到該網站;
    • 使用防毒軟件上的QR code 掃瞄器功能,讓防毒軟件預先檢查URL是否安全才開啟網頁。
  3. 賬戶驗證:
    • 只掃瞄官方網站內的賬戶驗證QR code;
    • 如發現不尋常的登入記錄,應立即向服務供應商查詢。

資訊安全貼士 (2023年4月號) – 別忽視修補家用網絡設備漏洞的重要性

安全更新和漏洞修補是確保您的裝置免受各種威脅的重要措施,隨著科技的不斷發展,攻擊者也會不斷尋找新的漏洞進行攻擊,因此裝置上的軟件也需要不斷更新以保持安全,使攻擊者無法利用一些已知漏洞來入侵您的電腦及網絡設備或竊取您的敏感資訊。

以下安全更新和漏洞修補的小常識:

  • 養成良好習慣: 在安裝更新或更改設定前,請先細閱供應商提供之安裝指引及注意事項,以及進行資料備份。
  • 定期手動檢查更新:
    • 選擇適當的時間段進行更新,可避免更新時干擾您的工作或其他活動。
    • 如需要在外工作,建議提前使用公司或家用網絡進行必要的更新,以避免增加在公共網絡上被入侵的風險,或使用流動數據時產生高昂的費用。
  • 開啟自動更新: 自動更新可以彌補手動更新的不足及提升安全性。
  • 只從可信賴來源下載軟件: 只下載來自可信賴供應商的軟件和應用程式,以避免下載帶有病毒或惡意程式。
  • 更新所有軟件和應用程式: 不僅是操作系統,還應該更新所有應用程式和軟件,包括網路瀏覽器、防病毒軟件等等。
  • 更新硬件固件: 別忽略家中網絡設備,如家用路由器、網路儲存裝置(NAS)、智能家居及家用監控攝影機等等。
  • 不要忽略小更新: 不要忽略小更新,有時候它們也可能包含關鍵的安全更新和漏洞修補。
  • 留意漏洞通報: 注意裝置和軟件是否存在已知的安全漏洞,及時應對和修補。

安全更新和漏洞修補對於保護您的裝置和數據安全非常重要,定期檢查和安裝更新和修補程式是確保您的裝置免受各種威脅的最佳途徑之一,如有任何疑問可向您的服務或產品供應商查詢。

資訊安全貼士 (2023年3月號) – 屏幕共享功能暗藏危機,你知道如何防範嗎?

屏幕共享功能是指在網上會議或遙距工作時,將自己的電腦屏幕或手機屏幕與他人分享的功能。這個功能可以方便溝通和協作,但也存在一些網絡安全危險,可能讓你成為騙子或黑客的目標。而司法警察局近日所接獲的電話騙案,也是利用了這個功能。

騙子可能會假冒政府官員、客服、銀行員工,聲稱是來協助你進行線上視頻辦案、解決問題、更新賬戶、領取福利等。然後,要求你下載不明的應用程式 (APP) 或與他們共享屏幕,再指示你輸入個人資料、銀行帳戶密碼、驗證碼及轉帳匯款等。事實上,當你與他們共享屏幕後,他們也許會偷看你正在輸入的資料,也可能在你不知情的情況下安裝惡意軟件、竊取數據及控制你的設備

若你想防範上述所指的危機,請參考以下資訊安全貼士:

  • 不要和陌生人或未核實身份的人士共享屏幕;
  • 不要隨意點擊可疑的連結或打開附件;
  • 不要下載或安裝來歷不明的應用程式 (APP) 或軟件;
  • 不要在使用公共WiFi時開啟屏幕共享功能或輸入機密資料;
  • 選擇一個信譽良好和有數據加密功能的軟件或平台來進行屏幕共享;
  • 在共享屏幕時只分享必要的內容,並監控你所分享的範圍和時間;
  • 在共享屏幕後立即結束會議並登出軟件或平台

記住,在使用屏幕共享功能時要小心謹慎及保持警惕,不要讓自己成為騙案的受害者。

參考資料

司法警察局 – 警情通告
認識「社交工程」慎防電話詐騙
如何安全地下載及安裝應用軟件?

資訊安全貼士 (2023年2月號) – 認識「社交工程」慎防電話詐騙

近年,我們經常通過各種渠道聽到提防詐騙的警示,但電話詐騙還是時有發生。事實上,騙徒是利用「社交工程」來獲取目標人物的個人資訊和敏感數據,來進行詐騙。「社交工程」是透過心理學和人際關係技巧,利用人類的情感,例如好奇心、恐懼和騙取信任等。騙徒經常會冒充銀行職員、警察、政府官員、法庭人員,或是冒充親友,誘騙受害人提供個人資料或轉賬,以謀取不法利益。

若不想成為電話詐騙的受害者,請參考以下一些資訊安全貼士:

  • 保持警惕:騙徒會利用上述技巧冒充他人進行詐騙,因此不要輕易相信來電者的身份,應該通過官方渠道核實其身份。
  • 注意語言表達:詐騙電話通常會威脅或者恐嚇受害人,所以要保持冷靜,注意對方的語言表達和口音。如果有疑問,可與親友商量或向相關機構求助。
  • 不要隨意洩露個人資訊:所謂「財不可以露眼」,個人資料亦一樣,如銀行卡號、密碼、身份證號碼等。如果必須提供,也要通過安全可靠的方法進行。
  • 不要輕易轉帳匯款:在接到涉及資金的電話時,不要輕易轉帳匯款。要通過正規的渠道核實對方的身份和資訊。
  • 增強安全意識:多留意安全資訊,自我提高識別和防範詐騙的能力。在發現可疑情況時可聯絡警方,防止被騙上當。
  • 與家人分享安全資訊:提升家人的安全意識同樣重要,因為騙徒可能會透過「社交工程」來套取,或釣魚攻擊來竊取你家人的資訊,然後冒充你家人的身份來進行詐騙。

總括來說,防範電話詐騙需要保持警惕,增強安全意識,不要輕易洩露個人資訊和轉帳匯款,以及通過正規的渠道核實對方身份和資訊。同時,對於涉及到資金的問題,要多加謹慎。