+

資訊安全貼士 (2024年3月號) – 確保系統安全的建議

/在: /通過:

在當今數字化的環境中,確保系統的安全至關重要。通過遵循以下建議,您可以顯著提高系統和數據的保護程度。

  1. 啓用强密碼認證:使用强密碼,並考慮其他身份驗證機制,如多因素身份驗證(MFA),以在訪問系統時增加額外的保護層。
  2. 使用SSH密鑰對:生成並使用SSH密鑰對進行安全的遠程訪問。與傳統基於密碼的身份驗證相比,這種方法提供了更强的加密和身份驗證。
  3. 保持系統更新:定期更新系統以獲取最新的安全補丁和軟件更新。這些更新可以解决已知的漏洞,以避免受新興威脅影響。
  4. 移除不必要的軟件:通過卸載任何不必要或未使用的軟件來减小攻擊面。這些軟件可能存在漏洞,被攻擊者利用。
  5. 禁用管理員登錄:禁用直接的管理員登錄(例如,“administrator”,“admin”,“root”),並强制使用單獨的用戶賬號。這有助於限制訪問並降低未經授權訪問關鍵系統資源的風險。
  6. 檢查和關閉開放端口:定期掃描系統的開放端口,並關閉任何不必要或未使用的端口。開放的端口可以作爲攻擊者的入口點,因此限制其可用性至關重要。
  7. 啓用防火牆:設置防火牆以控制入站和出站的網絡流量。正確配置的防火牆可以過濾惡意流量,並保護系統免受未經授權的訪問。
  8. 使用SELinux或AppArmor加固Linux系統:實施安全增强型Linux(SELinux)或AppArmor以强制執行嚴格的訪問控制,並限制攻擊對系統的影響。
  9. 安全審計:定期進行安全審計,以識別漏洞,評估系統配置,並確保符合安全政策和標準。
  10. 定期創建和維護備份:定期備份關鍵數據,以减輕系統故障、數據丟失或勒索軟件攻擊的影響。定期測試恢復過程以確保備份的完整性。

維護系統安全是一項持續的工作,保持對最新的安全威脅的瞭解,更新您的安全策略以及關於資訊安全的最佳實踐。

資訊安全貼士 (2024年1月號) – 別讓自己成為釣魚詐騙的下一個受害者

/在: /通過:

網上服務已經成為我們日常生活中不可或缺的一部分,因而網絡詐騙變得更加容易,涵蓋範圍更廣泛,包括購物、求職、投資、慈善、抽獎等等。粵語俗語有云「橋唔怕舊,最緊要受」,而很多傳統的騙局會以新瓶舊酒形式,在網路或電話上進行詐騙,手法千變萬化令人防不勝防。

任何騙局萬變不離其宗,誘騙用戶帳號、密碼或個人資料,最終目的離不開騙取受害者的金錢。只要提高安全意識,凡事務必「事實查核Fact Check」,便可減低受騙風險,緊記以下防騙三大原則:

  1. 保持冷靜,不要慌張:因為騙徒透過電話、短訊或電郵,利用帶有威嚇性言詞,令受害人方寸大亂,因而墮入騙局陷阱。尤其自稱執法部門、政府或銀行。只要停一停!想一想!想辦法借機拖延時間確認事件真偽,或找親友商量。
  2. 便宜莫貪:千萬不要被「執輸行頭,慘過敗家」的心態蒙蔽頭腦,世上沒有免費午餐,遇到有任何促銷優惠或投資機會,務必不厭其煩了解清楚及查明真偽,以免因小失大。
  3. 切勿隨便透露個人資料:個人資料等同金錢,財不可以露眼,個人資料亦不應隨便透露,最終被盜用的不是您的資料而是您的個人身份,再被用作詐取金錢或進行不法活動!

日常要多留意防騙資訊,習慣成自然地提高防騙意識,便不會被騙徒有機可乘。以下是一些詐騙訊息例子,供大家參考一下:

 

假冒即時通訊軟件短訊通知,內容帶有令人不安言詞。但必須注意一點,連結中的“w”字母,其實是由兩個字母 “v”魚目混珠冒充。

 

 

 

可疑陌生人短訊,可能會透過社交工程,進行各色各樣詐騙,可能會利用「放長線釣大魚」的手法,長時間與受害人溝通以博取好感,是騙取鉅額金錢的手段。

 

騙取驗證碼是常見盜用他人帳戶的方法,如通訊軟件,銀行轉帳等。實際上,驗證碼用於個人身份或帳戶操作驗證,屬於個人私隱,請勿洩露。其實借用他人電話號碼作驗證是非常不合理的事情,而對方帳戶極可能已被盜用。

資訊安全貼士 (2023年11月號) – 守護數位資產: 數據備份指南

/在: /通過:

重要資料遺失時有發生,及時為數據備份是防止設備故障或數據損壞而造成資料遺失的重要手段,以確保珍貴的資料不會永遠遺失。數據備份還為網路攻擊(尤其是勒索軟件攻擊)提供最後一道保護防線,讓您可以快速恢復數據並回復日常運作。正確地備份數據還可以保護敏感的個人和財務資料,免受未經授權的存取或洩露。

基本的數據備份實踐:

  1. 定期備份:安排定期備份以確保您的數據是最新的。對於關鍵數據,建議每天進行備份,而對於不經常更新的文件,可能每週或每月備份就足夠了。
  2. 保留多個備份副本:將備份的多個副本儲存在不同的儲存裝置上,例如外部硬碟、雲端存儲,甚至是實體副本。這種冗餘能確保即使其中一個儲存媒體發生故障,您的數據仍然得以保留。當使用雲端存儲時,必須注意服務的安全性及資料保護設置,並考慮哪些資料適合存儲在雲端。
  3. 妥善放好存儲裝置:將備份存儲裝置妥善存放,遠離火源或水源等物理危害。對於雲端存儲,請選擇具有健全安全措施及信譽良好的供應商。
  4. 定期測試備份:透過定期測試備份來驗證備份的完整性,以確保在需要時可以還原數據。
  5. 密碼保護:使用密碼保護您的備份裝置以防止未經授權的存取。此外,還可以考慮加密備份以增強安全性。

數據備份並不是一次性的任務,而是一個持續的過程。透過以上基本而有效的實踐,可以保護您的寶貴數據免於遺失,並確保您的個人資料和工作資料得到保障。

資訊安全貼士 (2023年10月號) – 注意勒索軟件攻擊

/在: /通過:

勒索軟件攻擊是近年最普遍的網絡攻擊類型之一。攻擊者利用各種網絡入侵技術或通過偽冒、詐騙等手段,向目標機構及用戶投放勒索軟件程式,加密受感染電腦系統的數據資料,使受影響系統無法正常運作,從而向受害者勒索金錢等經濟利益。與此同時,有些攻擊者還會在過程中竊取數據資料,並以公開其中的機密數據來威脅受害者,以增加受害者作出妥協的可能性。

採取以下安全措施來防範勒索軟件攻擊:

  1. 提防釣魚及病毒電郵,不要隨便打開附件或網頁連結:
    攻擊者會發送含有惡意程式的釣魚電郵附件或網頁連結,一旦打開,便會感染您的電腦系統; 

     

  2. 提防社交工程,不要輕信陌生人或未核實身份的人士:
    他們會假冒政府官員、客服、銀行員工等,誘使您下載或安裝來歷不明軟件,甚至協助他們進行勒索軟件攻擊; 

     

  3. 安裝防毒軟件, 開啟即時防護及監控功能:
    不管是通過便攜式數據儲存設備(如USB、移動硬盤等)或是電郵進行傳播,當勒索軟件程式被安裝或執行時,防毒軟件的即時防護功能可有效地把它們攔截; 

     

  4. 經常進行軟件更新,讓防毒軟件保持在最新狀態:
    這樣可避免攻擊者利用軟件存在的安全漏洞來進行攻擊,同時,最新的防毒軟件特徵庫,能更有效地檢測及攔截可疑的軟件程式; 

     

  5. 保護好您的用戶密碼,啟動多重認證服務及使用強密碼:
    他們會利用外洩的帳號或通過暴力破解等技術手段,遠程登入您的電腦系統以安裝勒索軟件程式; 

     

  6. 定期備份資料,確保能夠從備份中還原文件:
    就算數據資料被加密,也可從備份中還原,大大減低數據遺失的機會。

資訊安全貼士 (2023年9月號) – 注意魚叉式網路釣魚

/在: /通過:
  • 何謂魚叉式網路釣魚攻擊?

魚叉式網路釣魚(Spear Phishing是專門針對特定對象的網路釣魚(Phishing,其對象通常是某個機構,其最終目標是取得機密資訊,其技巧則包括:假冒他人名義、使用迷人的誘餌、避開安全機制 (如電子郵件過濾及防毒) 等等。

雖然一般的網路釣魚(Phishing)和魚叉式網路釣魚所使用的技巧類似,但兩者之間還是有所差別。兩者的差異在於,一般的網路釣魚(Phishing)相對單純,歹徒一旦偷到受害人的資料 (如網路銀行登入資訊),就算達到目的。但對於魚叉式網路釣魚來說,取得登入資訊或個人資訊通常只是攻擊的開端,這是歹徒進入目標網路的手段,只能算是的跳板而已,實質是針對性攻擊/鎖定目標攻擊(Targeted attack ) 

  • 魚叉式網路釣魚如何運作?

魚叉式網路釣魚通常鎖定特定個人或某機構的特定員工及其社群媒體帳號 (如機構網站、 TwitterFacebook LinkedIn),它們會精心製作出很有說服力的電子郵件內容,並且可能在電子郵件當中挾帶可造成感染的附件檔案和連結。一旦開啟檔案或連結,就會執行惡意程式或將使用者導向某個網站。接下來,駭客就能建立其秘密通訊網路,然後朝攻擊的下一階段邁進。

  • 如何防範魚叉式網路釣魚?

為防範網路釣魚,學校已設置了多層次防護,來讓系統管理員確切掌握及掌控網路的狀況,進而降低針對性攻擊的風險,防範各種攻擊途徑。除此之外,更重要的是依賴員工及學生的資訊安全意識懂得觀察郵件內的拼字錯誤、奇怪用詞,以及其他可疑的徵兆,就能預防一定程度的魚叉式網路釣魚。

資訊安全貼士 (2023年8月號) – 注意騙徒利用人工智能技術之詐騙活動

/在: /通過:

近日有報道指出,有騙徒利用人工智能深度偽造技術進行詐騙活動,包括製作假新聞推廣投資活動,或冒充名人移花接木後製影片,引誘受害人參與虛假投資活動。另外,不排除騙徒還會使用相關技術,冒充您的朋友或家人進行視像會議或語音通話進行釣魚詐騙。

您可以採取以下步驟來保護自己免受釣魚詐騙的威脅:

  1. 保持警覺和冷靜:
    • 處理對方提出的緊急要求時必須保持冷靜,尤其是涉及財務交易或投資的要求。若有所謂「親友」在視訊或錄音中提出匯款要求,要特別警惕。
  2. 驗證身份:
    • 涉及資金交易或個人資料時,務必驗證對方的身份。通過另一獨立的渠道與朋友、家人或相關機構進行聯繫,確認其身份和要求的真實性
  3. 留意破綻:
    • 透過閒聊提問方式嘗試驗證對方身份,騙徒可能會露出破綻。
  4. 保護個人資料:
    • 除一般個人資料外,還有切勿輕易提供人臉、指紋、聲音等生物辨識資料
  5. 不要輕易相信網上資訊:
    • 包括標有「已Fact Check」或「已證實」等標語的消息。如懷疑是假資訊,應避免轉載,並向有關機構查詢。

雖然不法分子會不時改變詐騙方式,但萬變不離其宗,騙徒目的離不開誘騙用戶帳號和密碼、個人資料或金錢,只要用戶時刻保持警覺,謹記「停一停、想一想、查真偽!」,便不會被不法分子有機可乘。

資訊安全貼士 (2023年7月號) – 如何安全地丟棄個人資訊設備

/在: /通過:

當您打算丟棄舊的個人資訊設備(例如電腦、智能手機、平板電腦或外置儲存裝置)時,懂得正確的處理步驟是非常重要的。這有助於保護您的隱私和資訊安全,以至保護自然環境。

您可以採取以下步驟來安全地處理舊的個人資訊設備:

  1. 備份數據:
    • 在丟棄設備之前,請確保備份所有重要數據和文件。 您可以使用外部硬盤或雲存儲來存儲數據。
  2. 取消訂閱或解綁帳戶:
    • 如有任何訂閱服務或捆綁帳戶,應先行取消訂閱或登出所有捆綁帳戶
  3. 擦除設備中的內容:
    • 在丟棄設備之前,請務必將設備中的內容擦除。 這意味著從設備中刪除您的所有個人數據和文件。
  4. 取出 SIM 卡和存儲卡:
    • 如果您的設備有 SIM 卡或存儲卡,請務必在丟棄設備之前將其取出
  5. 銷毀設備(如有必要):
    • 如果您的設備上有敏感數據且不希望其他人訪問,您可以銷毀該設備
  6. 回收設備:
    • 一旦確認設備中內容已被清除,您可以通過所在地的回收公司或組織進行回收,例如澳門環境保護局(DSPA),該局正在推廣電子及電器設備回收計劃。
  7. 別忽視一些家居中的設備:
    • 如電視盒、電視或手提遊戲機等,當中可能含有信用卡及個人資料,務必小心處理。

無論您選擇如何處置您的個人資訊設備,請務必以負責任的方式進行。

參考資料
環境保護局 (DSPA)
如何正確準備處置您的電腦
如何將 iPhone、iPad 或 iPod touch 恢復出廠設置
如何將 Android 設備重置為出廠設置

資訊安全貼士 (2023年6月號) – 人工智能工具與資訊安全

/在: /通過:

人工智能(AI)是指能夠模擬人類智能的系統或裝置,通過大數據分析、機器學習等技術,實現自動化、優化和創新的功能。近年來,AI工具的發展和應用日益廣泛,為各行各業帶來了便利和效率。它能跟您聊天,也能生成文章、繪畫畫像、編寫電腦程式等等。在選擇和使用AI工具時,可參考以下一些注意事項:

  1. 只從官方及合法途徑取得AI 工具:
    • 黑客創建了假冒的 AI 應用程序及網站,誘使您下載及使用它們。然而,這些AI 應用程序可能是一個竊取您裝置數據的惡意軟件,也可能藉由向您收取服務費用,從而盜取您用來付費的信用咭及個人資料。
  2. 使用 AI 工具共享個人或機密資料時要小心:
    • 就算是使用知名的AI工具,在了解及同意其相關的隱私政策前,切勿提供任何個人或機密資料。您所提供的資料,可能會用來訓練 AI 模型,並可能包含在對其他人查詢的回應中,從而演變成資料外泄。
  3. 切勿隨意開啟電郵中的檔案及連結:
    • 黑客可借助AI工具來產生仿真度高,令垃圾郵件過濾器及真人也難以辨識的釣魚電郵。若您對電郵的內容或發送者有懷疑,切勿開啟當中的檔案及連結,也不要相信電郵中的聯絡方法。請先由可信的途徑確認電郵的真偽,如直接致電發送者,才作下一步行動或回覆。
  4. 不要完全相信AI工具生成的內容:
    • AI工具的好壞取決於它使用的數據,如果它所學習的數據陳舊、不完整或是錯誤的,則可能會生成不準確、不真實、違法或不道德的內容。因此,無論您從 AI 工具中獲得什麼內容,在使用及相信前務必仔細驗證
  5. 關注由AI工具生成的內容之版權:
    • AI工具所生成的內容也可能已經被其他人使用過,或者包含了其他人的版權內容

資訊安全貼士 (2023年5月號) – QR code的釣魚攻擊

/在: /通過:

「Quishing」是結合QR code的釣魚攻擊。當用戶掃瞄QR code後,便會進入釣魚網站。由於QR 只是一個圖像,現時的保安措施未必能識別是一個威脅,因此「Quishing」可能是日後一種攻擊的新常態。

使用QR code的保安小貼士:

  1. 流動支付:
    • 以QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄;
    • 切勿隨便向他人透露流動支付服務所產生的QR code。
  2. 網頁瀏覽:
    • 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code;
    • 關閉QR code掃瞄器自動瀏覽網頁功能。關閉設定後,每次掃瞄QR code都會彈出對應的URL,待你確認才會連接到該網站;
    • 使用防毒軟件上的QR code 掃瞄器功能,讓防毒軟件預先檢查URL是否安全才開啟網頁。
  3. 賬戶驗證:
    • 只掃瞄官方網站內的賬戶驗證QR code;
    • 如發現不尋常的登入記錄,應立即向服務供應商查詢。

資訊安全貼士 (2023年4月號) – 別忽視修補家用網絡設備漏洞的重要性

/在: /通過:

安全更新和漏洞修補是確保您的裝置免受各種威脅的重要措施,隨著科技的不斷發展,攻擊者也會不斷尋找新的漏洞進行攻擊,因此裝置上的軟件也需要不斷更新以保持安全,使攻擊者無法利用一些已知漏洞來入侵您的電腦及網絡設備或竊取您的敏感資訊。

以下安全更新和漏洞修補的小常識:

  • 養成良好習慣: 在安裝更新或更改設定前,請先細閱供應商提供之安裝指引及注意事項,以及進行資料備份。
  • 定期手動檢查更新:
    • 選擇適當的時間段進行更新,可避免更新時干擾您的工作或其他活動。
    • 如需要在外工作,建議提前使用公司或家用網絡進行必要的更新,以避免增加在公共網絡上被入侵的風險,或使用流動數據時產生高昂的費用。
  • 開啟自動更新: 自動更新可以彌補手動更新的不足及提升安全性。
  • 只從可信賴來源下載軟件: 只下載來自可信賴供應商的軟件和應用程式,以避免下載帶有病毒或惡意程式。
  • 更新所有軟件和應用程式: 不僅是操作系統,還應該更新所有應用程式和軟件,包括網路瀏覽器、防病毒軟件等等。
  • 更新硬件固件: 別忽略家中網絡設備,如家用路由器、網路儲存裝置(NAS)、智能家居及家用監控攝影機等等。
  • 不要忽略小更新: 不要忽略小更新,有時候它們也可能包含關鍵的安全更新和漏洞修補。
  • 留意漏洞通報: 注意裝置和軟件是否存在已知的安全漏洞,及時應對和修補。

安全更新和漏洞修補對於保護您的裝置和數據安全非常重要,定期檢查和安裝更新和修補程式是確保您的裝置免受各種威脅的最佳途徑之一,如有任何疑問可向您的服務或產品供應商查詢。