資訊安全貼士 (2023年1月號) – 保護社交媒體私隱,免被不法之徒使用

上期提及了一些網上騙案的資訊,建議大家提高安全意識,免墮網上騙案。其實,除了提高個人安全意識外,保護好您在社交媒體上的私隱,亦能避免自己牽涉到騙案之中。

以下是兩個利用社交媒體私隱的例子:

1. 網上情緣騙案
騙徒在社交平台根據受害人透露的個人資訊找尋目標,認識受害人後向對方展開「追求」,以迅速建立網上的「戀人」關係,繼而用不同藉口去騙取金錢。騙徒與受害人之間卻從未真正見過面。

2. 盜用他人相片再進行詐騙
不法分子盜用他人相片、假冒他人名義在網絡社交平台開設帳戶,並透過該虛假帳戶不斷聯絡其他目標人物,索取電話號碼或其他個人資料。相關資料極有可能被用作各類詐騙行為。

以上例子都有一個共通點,就是利用別人在網上透露的資料作案。試想想,一個陌生人知道您的資料越多,您的風險就越大。

以下是對於上述騙案的一些防範提示:

    • 切記互聯網為虛擬世界,任何人均可虛構身份;
    • 對於來歷不明的人或訊息,要時刻保持警惕;
    • 妥善保護個人資料,切勿於網絡社交平台上隨便公開個人及親友資料;
    • 啟用網絡社交平台帳戶的雙重安全認證,提高帳號安全性同時,亦要限制誰可以看到您的資料。

參考資料

 

資訊安全貼士 (2022年12月號) – 提高安全意識,免墮網上騙案

在現代生活中,資訊設備已成為了我們生活的一部份。無論你是甚麼年齡,都會透過設備接觸到網上的資訊,如聊天通訊、網上購物等。網絡不僅將有用的資訊帶給我們,同時亦令一些詐騙的行為更易接近我們。

以下是兩個的網上詐騙例子:

1. 網上購物騙案
你有試過在社交平台購物,付款後卻收不到貨品嗎?多數騙徒會用以下手法欺騙消費者:

    • 提供特別優惠 – 以限購、減價、外地代購等作招徠,吸引買家
    • 先收錢後失聯 – 要求買家先匯款至指定戶口,拒絕當面交收。收款後失去聯絡
  1. 網上求職騙案
    透過不同網上社交平台、討論區或即時通訊軟件,刊登招聘貼文吸引應徵人士,並以不同藉口誘騙他們繳交費用、保證金或其他款項,其後失去聯絡。這種騙案或有以下特徵:
    • 聲稱高人工或在家工作
    • 對應徵者年齡及學歷要求低
    • 不會提及實際職位及工作內容
    • 不會提及公司名稱或地址,只提供即時通訊軟件或手機號碼聯絡方法

以上案例中,其實都是利用了人們希望得到優惠或優待的心理,從而進行詐騙。

以下是一些相應的防範提示:

    • 切記互聯網為虛擬世界,任何人均可虛構身份
    • 對於來歷不明的人或訊息,要時刻保持警惕
    • 購物要盡可能到有商譽的購物平台進行,可減少受騙的機會
    • 購物亦要考慮貨品之來歷,以免誤墮法網
    • 求職要謹慎,可先做資料搜集,核查公司或工作崗位是否真的存在
    • 遇到問題應先與家人或朋友相量

參考資料

資訊安全貼士 (2022年9月號) – 提防可疑訊息

就近日有市民收到可疑短訊,訛稱可提領防疫補助補貼,並附上領取連結。社會工作局澄清並無發出有關短訊,且已通報司法警察局。

社會工作局提醒市民必須小心防範,如接獲類似短訊應提高警覺,切勿輕信,亦不要點擊相關連結及提供個人資料,慎防受騙。市民如遇上類似事件,如有需要應報警處理。

偽冒社會工作局之短訊樣本

此外,亦有用戶收到偽冒內地社會保險的補貼提領電郵:

偽冒內地社會保險之電郵樣本

ICTO 提提您,在接收訊息時,應時刻保持警惕。以下是一些仿冒詐騙訊息常見的特徵:

    • 它可能模仿可信任的官方並誘使用戶點擊惡意超連結;
    • 它可能包含需要立即採取行動的重要通知,傳達威嚇訊息或提供非常吸引的折扣優惠(例如免費的海外旅行套票);
    • 它可能包含縮短的網站超連結;
    • 它可能會複製官方的內容,例如文字、標誌、聯絡資料等,偽裝成真實訊息。

應對短訊詐騙攻擊

    • 不應隨意轉發詐騙訊息,胡亂群發訊息會造成濫用,若散播不實消息更可能觸犯法例;
    • 立即刪除或封鎖仿冒詐騙訊息,以防止再次接收到惡意內容;
    • 如果涉及犯罪活動和個人數據洩露,應向執法機構或監管機構舉報。

下一期的資訊安全貼士,將會為大家介紹更多不同類型的仿冒詐騙類型及應對方法。

資訊安全貼士 (2022年8月號) – 如何處理需保密的資料?

您可能在工作上需要處理和使用不同類別的資料,當中可能涉及傳送、保存、修改及查詢需保密的資料。而我們是有義務確保大學的資料得到適當保護。不論它以任何形式存在,也必須採取適當的安保措施來防止它被不當外洩或披露。導致資料外洩的原因有很多,常見的有人為疏忽、弱密碼被暴力破解、帳戶被盜、遺失電子設備、軟件漏洞被利用、使用不安全的網絡連線等。若資料遭不當外洩或披露時,可能會損害大學的聲譽,甚至需要承擔法律責任,因此務必設法保護它,以下方法可供參考:

把資料加密及適時刪除
請根據《保密工作指引》《處理機密資料指引》中所述之方式來處理需保密的資料。例如,當帶走或在校園外處理需保密的資料時,有關資料要用軟件經密碼加密;在處理完畢後,必須立即從電腦上刪除所有相關的資料。

謹慎傳送和分享資料
傳送/回覆/轉發電郵之前,請謹慎校閱收件人電郵地址、電郵中及附件中所載之內容是否正確。例如不要包含過量的個人資料未經證實的內容(謠言)刪除歷史紀錄中不必要的機密的資料。另外,當您透過電腦系統分享資料時,請檢查系統的權限設置是否正確。

啟動雙重認證服務及使用強密碼
為減低帳戶被盜用及密碼被惡意破解之機會,請啟動雙重認證服務及使用強密碼來保護您的澳大帳戶。另外,不同的帳戶應使用不同的登入密碼,尤其是用於處理保密資料的帳戶。

使用生物特徵辨識技術來保護您的電子設備
除了使用密碼鎖外,還建議使用生物特徵辨識技術來保護您的智能電話和平板電腦,如指紋和人面識別技術。這樣,就算不慎遺失或隨意放置電子設備,都可減低個人、工作電郵、網購或手機銀行等資料被他人讀取之機會。

更新電腦系統及電子設備,啟動防毒軟件
請確保電子設備上的操作系統、瀏覽器和軟件更新至最新的版本,並及時安裝安全補丁,以防止黑客利用漏洞進行攻擊。同時,安裝並定期更新防毒軟件,為電腦進行定期掃描及開啟即時防護及監控功能。

小心使用公共WiFi網絡及電腦設備
請假設公共WiFi網絡及電腦設備是不安全的,因為公共網絡及電腦設備均可能被黑客監聽,並在您不知道的情況下採集您所傳送的數據。故此,在連接到公共網絡及電腦設備時,避免處理需保密的資料或進行銀行交易。

資訊安全小貼士(2022年7月號)- 遙距在家工作貼士

大家都因疫情或需要在家辦公,提提大家

  1. 確保電腦程式在最新的狀態應定期更新設備的系統及軟件,如果已安裝防惡意軟件程式亦應注意更新,以免受到惡意軟件的破壞或感染,若未曾安裝防護軟件,可在此下載(連結) 然後選擇 ESET Internet Security;
  2. 登入SSLVPN並使用ICTO提供之虛擬桌面服務來登入大學主要行政系統,詳情可參相關資(連結)
  3. 工作完畢後必須登出所有賬戶(包括 SSLVPN);
  4. 保護資料避免重要資料外洩;
  5. 在視像會議時,應注意保護家居私隱;
  6. 切勿輕易相信未經證實的消息,通常在疫情緊張期間,都會有不實消息在網絡中散播,小心誤墮釣魚陷阱及切忌胡亂轉發。

資訊安全貼士 (2022年5月號) – 如何高效安全地使用群發電子郵件

如何高效安全地使用群發電子郵件

在日常工作中,大家或許需要發送電郵給多個收件人或不同的群組和組織等,可是最有效的方法是什麼呢?是對每位收件人逐一發送電郵,還是群發電郵。當然,群發電郵會是一個較好的選擇。

雖然群發電郵可以節省重複發送相同消息的時間,但如果處理不當,也會帶來一些缺點,例如不必要地披露收件人資訊給第三方,浪費電郵及網絡資源等。因此在發送前必須注意以下幾點:

1. 電郵內容是否有正當目的?
2. 是否會導致任何與安全或私隱相關的問題?
3. 如果其中一位收件人點擊「全部回覆」會怎樣?
4. 電郵內容會讓收件人感到困惑嗎?

針對上述幾點,我們有以下建議:

  • 確保電郵件內容符合相關組織的使命並用於批准的目的;
  • 使用密件抄送 (Bcc) 以隱藏其他收件人的電郵地址,保障各收件人私隱。亦可避免當其中一位收件人使用「全部回覆」,而產生大量不必要的電郵發送;
  • 使用明確的主旨標題可以幫助收件人區分正常郵件與垃圾郵件或網絡釣魚。

更多關於群發郵件的詳細信息,請參閱“群發電子郵件和使用電子郵件組的指南(英文版)”。

參考: 慎防被捲入網絡的釣魚騙局當中

資訊安全貼士 (2022年4月號) – 如何防範電腦病毒及惡意軟件?

在日常生活中,我們會十分注意家居保安,但您會否擔心家中的電腦也可能會被不法分子入侵?他們會在您的電腦種下木馬程式來盜取重要資料,甚至遠端控制您的電腦鏡頭及音訊設備進行偷窺及竊聽。由於近年加密貨幣大行其道,也有黑客透過木馬程式大量地盜用他人的電腦資源來挖礦以獲取加密貨幣圖利。這種挖礦攻擊會令被入侵電腦的效能及網速下降、增加耗電及縮短電腦的壽命等。

挖礦攻擊其實已在世界各地不斷漫延,近日大學亦收到澳門網絡安全事故預警及應急中心通知,自本年2月以來,該中心發現多個澳門機構的電腦受到挖礦病毒感染,並呈上升趨勢。為確保資訊安全,希望大家參考以下提示,做好安全防護措施:

  • 及時修補電腦操作系統及應用軟件的安全漏洞,安裝更新補丁或進行升級;
  • 安裝並定期更新防毒軟件,為電腦進行定期掃描及開啟即時防護及監控功能;
  • 只從供應商/發行商的官方網站下載軟件
  • 不要下載任何類型的破解或黑客程式
  • 不要開啟可疑電郵中的連結及附件
  • 加強賬號、密碼的安全管理和保護,例如使用雙重認證(2FA)服務和較複雜的密碼。

如電腦感染了病毒或惡意軟件,可能會出現的狀況包括:

  • 效能變慢及不穩定,甚至無法使用;
  • 出現過熱現象及耗電量增加;
  • 硬碟中的資料被破壞或刪除,甚至整個硬碟被格式化;
  • 瀏覽器的首頁被篡改、頻繁彈出廣告、被強行跳轉至其他網頁;
  • 防毒軟件無故被關閉或停止運行。

若懷疑您的澳大帳號受到不法入侵或電腦感染了病毒或惡意軟件,請立即與 ICTO 服務中心聯絡

參考資料
· 慎防被捲入網絡釣魚騙局當中
· 如何安全地下載及安裝應用軟件?
· 你為防範勒索軟件做好了準備嗎?
· 雙重認證服務
· 如何選擇一個強密碼?
· 網上安全與保障的基礎知識
· 其他資訊安全貼士

資訊安全貼士 (2022年3月號) – 如何安全地下載及安裝應用軟件?

日常的網上活動可能會為您的電子設備帶來威脅,因為大多數感染電腦系統的威脅(例如病毒和惡意軟件),通常來自您在互聯網上下載及安裝的應用軟件。

以下的個提示可以讓您以相對安全的方式下載及安裝應用軟件:

1. 只從供應商/發行商的官方網站下載軟件
建議您僅從供應商或發行商的官方網站下載軟件,並避免從第三方網站下載軟件安裝檔。因為這些安裝檔有可能已經被嵌入了各種類型的廣告,這些廣告會在您的電腦系統中安裝額外的惡意程式。

2. 刪除自動下載到您設備的所有軟件
當您不小心地訪問了某些惡意網站時,通常會發生這種情況:這些網站會將其惡意程式直接發送到您的電腦系統。如發生這種情況時,請立即刪除自動下載到您的電腦系統內的應用程式

3. 不要下載任何類型的破解或黑客程式
任何類型的破解或黑客攻擊程式,大部分都被加入惡意程式碼。當您運行它時,相關惡意程式會被安裝到您的電腦或設備中,這些惡意程式往往會干擾您的系統,並向其發送惡意命令。建議不要下載、安裝及使用被破解或黑客程式

4. 仔細地按照安裝步驟進行操作
在安裝從官方網站下載軟件程式的過程中,不要只是盲目地單擊「下一步」。您必須非常小心地執行每一個安裝步驟,因為有些不良的軟件供應商可能會將惡意軟件或廣告軟件嵌入到他們的安裝程序中。請務必剔除任何您不需要的安裝選項

參考資料

 

資訊安全貼士 (2021年6月號) – 如何在外遊時保護您的資料?

大學校園配備了可信的 Wi-Fi 網絡以確保您的數據安全,但是當您外出度假、進行學術實地考察或在公共場所進行學習等情況下,需要使用公共無線網絡(Public Wi-Fi)時,請採取額外的預防措施,因為黑客和其他網絡犯罪分子喜歡利用安全保護相對寬鬆的公共場所網絡進行攻擊。

使用公共無線網絡(Public Wi-Fi)時,請注意以下事項以確保數據安全:

  • 驗證網絡、配置和關閉共享
  • 使用虛擬私人網絡(VPN)
  • 使用帶 HTTPS 的連結
  • 保持防火牆啟用
  • 使用防病毒軟件
  • 保持自動連接關閉
  • 使用雙因素身份驗證(2FA)- 即使黑客獲得了您的用戶名稱和密碼,他們仍然無法登入您的帳戶。

在情況許可下,最好還是使用您的智能手機網絡作為熱點,而不是使用不安全的公共無線網絡。

資訊安全貼士(2021年1月號) – 你有多久沒更改帳戶密碼呢?

您知道嗎?近年來,世界各地不同行業機構先後發生網絡入侵事件,假如您很久沒有更改密碼,密碼可能已經在不同資訊安全事件中外洩,包括釣魚郵件、虛假網站、木馬程式、程式漏洞、密碼破解等等,您的帳戶密碼可能已落入不法分子手中,因此建議您參考以下安全措施以保帳戶安全。

定期更改密碼 通常最少每 180 天更改密碼一次假如您很久沒有更改密碼,請立即更改密碼

高強度密碼 使用高強度密碼,例如 “gL3ToL@uh%”(請參閱 ICTO 知識庫);

加長密碼 您亦可選擇加長密碼長度代替複雜密碼,建議使用合共多於 15 字元互不相關的單字組合,不單安全還比較容易記憶及輸入例如  ”PersonalOceanAlthough”;

小心資安疲勞 相信您已有一定程度的安全意識並時常保持警覺,但偶然間可能會不自覺地鬆懈而不幸地發生資安事件。因此建議您應善用一些安全工具以減低風險包括:

    • 使用雙重驗證登入帳戶 (2FA)
    • 為移動磁碟進行加密 (BitLocker)
    • 使用 RMS 保護重要文件 (RMS);

資訊及通訊科技部於2019年已推出雙重驗證服務。除此之外,亦建立了自動偵測網絡入侵活動的機制,一旦發現可疑的網絡入侵活動或證實有帳戶被盜用,其相關之網絡連線或帳戶會被自動即時封鎖,以免進一步受到安全威脅。

參考資料