+

慎防釣魚陷阱

/在: /通過:

   「網絡釣魚」是社交工程中的一種誘騙手法,網絡犯罪分子會透過這種手法來誘騙受害人作出某種預期的行為。社交工程是所有網絡釣魚攻擊的核心,尤其是通過電子郵件來進行攻擊。資訊科技發達的同時使網絡釣魚變得簡單,要設置及操作網絡釣魚攻擊是非常快捷、廉價和低風險的,任何網絡犯罪分子都可以發起這種攻擊。在回覆任何電郵之前,必須確認寄件人身份,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心。大多數的釣魚電郵都有一些如下特徵:

1. 小心非官方電郵地址 舉例說,ICTO服務中心大概不會使用類似如下兩個電郵地址,進行用戶通訊。請注意當帶有寄件人名稱格式的電郵地址,其寄件人電郵地址必須包含於”< >”或”[ ]”內,而前半部分只屬於顯示名稱,不能用於識別寄件人身份;
  • @ — ICTO服務中心的正式郵件不會使用第三方電郵服務的地址域名;
  • @ — 由於@connect.um.edu.mo是學生或校友電郵服務的地址域名,ICTO服務中心的正式郵件不會使用@connect.um.edu.mo。
2. 提防電郵附件 電郵附件是傳送惡意軟件最常見途徑。當收到帶附件的郵件時,除非確定它的來源是安全可靠,否則不要打開;
3. 催促收件人是典型釣魚郵件技倆,催促收件人使其更有可能合作,例如催促檢證帳、協助購買網絡預付卡、轉帳金錢等等。如果電郵內容指示您必須立即採取某些行動否則會終止使用權限等,請務必冷靜應對,網絡犯罪分子常以恐嚇手段,希望您不假思索地跟隨行動;
4. 不正確的URL連結 通常會引導連接到一個欺詐網站,而非合法網站;
5. 偽冒電郵署名 黑客可能從某處獲得真實的電郵署名樣式,即使看起來真實,但不建議以電郵署名來判斷電郵真偽。不過如果發現署名樣式不尋常,當然必須提高警覺;
6. 不能信任寄件人頭像相片 黑客可能從某處盜取寄件人頭像相片,例如社交網站;
7. 使用不同通訊渠道 如寄件人提出可疑要求,您可使用不同的通訊渠道查明真實,例如透過即時通訊軟件或話音通訊等。

個人資料私隱保障與電郵使用技巧

/在: /通過:

在現今資訊化時代,電子郵件成為日常不可或缺的通信工具,而且也成了主要的溝通工具之一。郵件的安全性變得愈來愈重要,對於外來攻擊如電訊詐騙及惡意軟件攻擊等,雖然用戶的防範意識日漸提高,但用戶使用電郵可能出現的問題也不容忽視。尤其涉及與他人的個人資料有關的工作時,必須加倍小心謹慎。為進一步提升用戶使用電郵的安全技巧,提供以下一些安全小貼士:

  • 發送電郵之前,必須校閱電郵內容、附件、以及收件人的電郵地址是否正確;
  • 回覆電郵之前,必須確認寄件人身份,勿隨意回覆電郵,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心;
  • 轉發電郵之前,必須了解郵件內容是否適合轉發,包括附件及電郵的對話歷史紀錄內容,亦可考慮按需要摘錄部份內容,以代替轉發整封電郵。亦不要隨意轉發未經證實的內容,以免散播謠言誤觸法網;
  • 群發電郵時,謹慎考慮其群發必要性,善用電郵系統資源。詳細請參閱「群發電郵與使用郵件群組的指引(英文)」;
    慎用「回覆所有人」功能,任意回覆所有人,可能製造不必要的打擾,謹慎考慮其必要性;
  • 善用密件副本(Bcc),使用密件副本,確保不讓收件者彼此間看到其他收件人的電郵地址,從而保障各收件人的私隱;
  • 注意郵件內容及附件請勿傳送過多內容或附件,尤其涉及個人資料。如含有敏感內容,更必須考慮是否適合透過電郵方式傳送。另外,使用電郵時亦必須遵守本校政策及本澳現行法律,以及其他司法管轄區可能適用的法律。(請參閱參考資料)
  • 不要依賴電郵回收功能,畢竟覆水難收,其實電郵回收功能屬於輔助功能,只能盡量減少影響,但絕不能保證百分百能收回誤寄的電郵。

另外,用戶可以習慣在撰寫電郵後,才填寫收件人的電郵地址,以免誤寄未完成的電郵。如有需要在聯絡人資料中選擇電郵地址,必須注意避免誤選相似的電郵地址。

*參考資料

Data Privacy and Skills in Using Email

/在: /通過:

In today’s information age, email service has become an indispensable communication tool in daily work, as well as one of the major communication tools. Hence, email security are becoming more and more important. For external attacks such as telecommunications fraud and malware attacks, although user’s information security awareness is increasing, the possible problems arising from the use of email cannot be ignored. In particular, for any jobs that involved personal data, you must handle them with special care. To further enhance users’ skills in using email more secure, here are some security tips:

  • Before sending an email, you must review the email content, attachments, and the recipients’ email addresses;
  • Before replying to email, you must confirm the identity of the sender. Do not reply to the email casually. For those emails that involve sensitive content such as money, personal information or account password, etc, please pay special attention;
  • Before forwarding emails, you must understand whether the email content, which included attachments and contents of reply history, is suitable for forwarding. You can also consider extracting some necessary contents instead of forwarding the entire email. Do not arbitrarily forward unconfirmed content, so as not to spread the rumors;
  • To consider carefully the necessity of mass emailing and make good use of email system resources. For more details, please refer to the “Guidelines for Mass Email and E-mail Groups“;
  • Be aware of using “Reply to all”. It may cause unnecessary distortion. Please carefully consider the necessity;
  • Make good use of Bcc., to ensure that the recipients are not allowed to see each other’s email addresses, thus protecting the privacy of each recipient;
  • Note the email contents and attachments. Do not send too much content or attachments, especially personal information. If it contains sensitive content, you must consider whether it is suitable for transmission via email. In addition, the use of email must also comply with the policies of the University and existing local laws and regulations, as well as other laws that may need to be complied in other jurisdictions. (Please refer to the Reference information.)
  • Do not rely on “email recall”! Actually, the email recall is a facilitating function that can only minimize the impact, but it cannot guarantee recalling the email you sent successfully.

In addition, users can get used to writing emails before filling in the recipients’ email addresses, so as not to send unfinished emails by mistake. If you need to select an email address from the contacts, be careful when selecting an email address as some email addresses may look similar.

 

* Reference information

  1. Office for Personal Data Protection, Macao
  2. Personal Data Protection Act, Macao
  3. Privacy Policy, UM
  4. Guidelines for Handling Confidential Information, UM
  5. Acceptable Use Policy on ICTO Computing Facilities Campus Network and Internet
  6. Guidelines for Mass Email and E-mail Groups
  7. How can I identify a phishing, fake email and websites?
  8. What you need to know about EU General Data Protection Regulation?
  9. Data Privacy in an Era of Compliance
  10. Other Information Security Tips

合規時代的資料私隱保障

/在: /通過:

「合規」是指符合法律、法規、標準和其他的要求。

  今時今日,互聯網已成為人們日常生活中必不可少的工具,但是您是否知道其實互聯網上充滿大量有關您的資料嗎?每當玩遊戲、網上購物、瀏覽網站或使用應用程序時,您的活動和一些個人資料都可能被收集和共享。同樣地,我們在日常工作上也可能需要收集、處理和存儲他人的個人資料。每當我們處理這些資料時,必須謹慎和尊重地對待這些資料,正如您亦希望別人妥善處理您的個人資料一樣。

保護自己的個人資料

  • 了解您分享的內容:檢查所有社交媒體帳戶的私隱設置,有些可能提供設定精靈協助您完成設置,對公開發佈的內容亦應該經常保持謹慎;
  • 保護您的出生日期和電話號碼:這些是用於身份和帳戶驗證的關鍵資料,不應任意公開分享。如果一些網上服務或網站要求分享這些關鍵信息時,務必考慮其必要性及網站安全性;
  • 請注意網絡釣魚電子郵件和虛假網站:一不小心個人資料隨時可能會被騙取!*6

保護他人的個人資料、身份和私隱:

  • 了解相關適用的法律、政策及指引:適用於規範如何收集、處理、存儲和刪除個人資料;*1,2,3,4,5
  • 僅將資料用於其預期目的:如果由於其他原因需要使用資料,請先查閱上述的政策和指引;
  • 務必保護他人的個人資料機密性,並限制對其資料的存取;
  • 銷毀或去除識別身份的資訊:在不再需要使用的資料時,應銷毀或把資料去除識別身份的相關資訊。

* 參考資料

  1. 澳門個人資料保護辦公室
  2. 澳門個人資料保護法
  3. 澳門大學私隱政策
  4. 澳門大學處理機密資料指引
  5. 歐盟《資料保護總規章》與您有什麼關係?
  6. 如何識別釣魚、虛假電子郵件及假網站?

如何在外遊時保護您的資料和電子設備?

/在: /通過:

  現今資訊科技令外遊或公幹都變得更加便利,你可以用於處理公務、娛樂以及保持聯繫。對於許多人來說,攜帶手機或其他電子設備,是良好旅行體驗和日常生活不可或缺的一部分。但同時可能會增加個人資訊外洩風險以及設備被盜的可能性。為免因資訊安全事故而影響行程,可參考以下一些貼士來保障你的資訊安全。

  • 只使用需要的資料 可將某些設備留在家中、使用臨時設備、從設備中刪除個人資料或將資料轉移至安全的數據存儲;
  • 保護您的資料 出發前為資料進行完整備份,考慮為您的設備啟用加密功能;
  • 確保電腦程式在最新的狀態 更新軟件,包括防病毒保護,以確保使用的系統及軟件為最安全的版本;
  • 關閉 Wi-Fi 和藍牙,避免在毫不知情的情况下,自動連接任何其他網絡或設備;
  • 啟動防偷竊及遠程消毁資料功能,以防丟失或被盜;
  • 充足準備 尤其於出發前為設備充電;
  • 小心誤墮法網 清除其他國家或地區可能被視為非法或有問題的任何內容,並查詢前往的國家是否對加密內容有限制;
  • 別忽視傳統技巧
    • 用膠帶蓋住筆記本電腦或移動設備的鏡頭以保障隱私;
    • 注意使用設備前被人在背後偷看;
    • 盡可能將您的設備隨身攜帶,或使用酒店保險箱;
    • 可在設備上標示基本的聯絡資料,一旦遺失後仍可方便失物認領!

網購安全小貼士!

/在: /通過:

  近年網購大行其道,每當購物旺季時,黑客會趁機藉消費者對網購安全的戒心變得相對薄弱時,進行各種各樣的入侵活動。相比傳統逛街消費方式,消費者通常會習慣保管好身上的財物,確保在購物後安全放好信用卡或現金。同樣,當在舒適的家中進行網購時,亦必須採取相應的防範措施。如果把這些簡單的防範措施,成為平常的網購習慣,那麼信用卡和個人資料均得到保障。

  以下是一些網購安全小貼士,以便您可以安心和安全地進行網上購物 (包括網上購買門票、預訂機票及酒店等):

  • 確保電腦程式在最新的狀態 在網上搜尋心水禮品前,請確保所有連上網絡的設備,包括電腦、智能電話和平板電腦等,都必須使用最新版本的軟件和應用程式,以免受惡意軟件的破壞或感染;
  • 使用可靠的網店購物 慎選信任的網店,小心誤墮限時速銷優惠騙局;
  • 細心研究 閱讀評價,參考其他客戶對該網站的正面或負面的評價;
  • 個人資料等同金錢,務必重視及保護它 當進行網購時,請注意網站所收集的資料對其交易是否有其必要性, 細心考慮供應商是否有必要獲得這些資料,在結賬時只須填寫必填的資料項目;
  • 檢查瀏覽器的網址欄 在網上使用信用卡之前,請先注意網店及支付網站的網址,必須附有鎖頭圖示及以 “https://” 開頭。如使用手機應用程式,必須為官方所提供的應用程式。

慎防被捲入網絡釣魚騙局當中

/在: /通過:

  「網絡釣魚」是社交工程中的一種誘騙手法,網絡犯罪分子會透過這種手法來誘騙受害人作出某種預期的行為。社交工程是所有網絡釣魚攻擊的核心,尤其是通過電子郵件來進行攻擊。資訊科技發達的同時使網絡釣魚變得簡單,要設置及操作網絡釣魚攻擊是非常快捷、廉價和低風險的,任何網絡犯罪分子都可以發起這種攻擊。

  根據企業方案供應商 Verizon 的「2018 年數據洩露調查報告」,針對教育機構的社交工程攻擊不斷增加。當個人資料和研究成果被披露時,無論是學生、教職員和學院都遭受損失。其中,網絡釣魚佔這些洩露事件達四成以上。然而,了解您所面對的風險,可以幫助提高安全意識。以下是一些防範網絡釣魚攻擊的建議:

  • 有節制地在網上分享資訊:其實分享越少關於自己的資訊,變成釣魚攻擊目標的機會越小。網絡犯罪分子一般會通過您在網上公開發佈的資訊來了解您,藉以較易取得您的信任;
  • 保護您的用戶密碼:任何正常的機構及部門,包括 ICTO 都不會通過電子郵件,來查詢您的用戶名稱、密碼或其他個人資料。如不確定電子郵件是否為釣魚郵件?請與 ICTO 服務中心聯絡
  • 提防電郵附件:電郵附件是傳送惡意軟件最常見的途徑。當收到帶附件的郵件時,除非確定它的來源是安全可靠,否則不要打開;
  • 確認身份:釣魚郵件看起來都是很正常的,網絡犯罪分子通常會盜用機構或公司的身份特徵,如模仿它們的的徽標或使用相近的網址,目前並沒有效的方法可以阻止他人冒充大學、金融機構、零售商和其他服務提供商。如果收到聲稱來自某機構的可疑資訊,可自行在網上查找相關的官方網站,並通過其網站提供的聯絡資料與他們聯絡;
  • 檢查發件人的電郵地址:請檢查寄件人的電郵地址,相關機構的任何通信都應來自該機構的電郵地址。如同您的學院或大學的通知電郵,也不會從非自身機構的電郵地址寄來的,例如 @ 等。
  • 慢慢來,不要急:如果電郵內容指示您必須立即採取某些行動否則會終止使用權限等,網絡犯罪分子常以恐嚇手段,希望您不假思索地跟隨行動,因此必須冷靜應對;
  • 請勿開啟可疑郵件中的連結:如果收到可疑電子郵件,請不要開啟郵件中的連結,尤其是不明的縮短式連結或「按此」等字句。他們可能會被連結到精心設計的虛假網站,以竊取用戶名稱和密碼。

參考資訊

如何識別釣魚、虛假電子郵件及假網站?

重要資料遺失隨時會發生,資料備份做好了嗎?

/在: /通過:

  在資訊安全措施當中,良好的備份方案是非常重要,因為預防重要資料遺失的唯一方法是通過定期資料備份。視乎資料的重要程度,在一般的情況下建議最少每週或每天備份一次。

  相信大家都偶爾聽說過,由於電腦硬碟損壞或意外丟失手機而不幸地導致失去了重要文件及珍貴家庭照片等事件。此外,您亦可能成為勒索軟件或其他惡意攻擊的受害者,導致您別無選擇地重裝電腦,並放棄電腦內所有儲存的資料。現時由 ICTO 提供的電腦已預設有自動備份程式,但一些用戶或部門自行購買的電腦設備,是較容易被忽視進行資料備份的重要性,因此為了讓您容易地制定安全可靠的備份方案,以下一些入門提示可以幫到您:

  • 遺失資料隨時會發生,只需創建一個備份計劃便可以預防;
  • 重要的資料不應只儲存在單一地方;
  • 理想的備份方案通常包括雲端備份和離線備份,例如,雲端備份軟件及雲端硬碟等,離線備份則有外置硬碟、USB 儲存裝置等。目的是當發生任何意外之後,仍然能夠確保您的資料安全無恙;
  • 選擇一些操作簡易及具有自動功能的備份軟件,能讓您更容易進行快速設置並且無須進行太多的維護工作;
  • 進行定期測試備份軟件,以確保在實際需要時,可從備份中還原恢復資料。

  除了電腦設備外,還需要為流動裝置進行資料備份,現時主要的流動裝置均有提供內置資料備份功能,詳情可參閱相關流動裝置的使用手冊。在選擇雲端服務時,不論免費或付費服務,都必須謹慎選擇安全可靠的服務供應商。另外,大多數的雲端服務供應商,在不同地區都設有數據中心,而且大多數都會在澳門以外地區,假如使用雲端服務涉及儲存一些敏感資料時,必須考慮是否符合相關之大學政策及本地法律規定。*1,2,3,4,5,6,7

*參考資料

  1. 澳門個人資料保護辦公室
  2. 澳門個人資料保護法
  3. 澳門大學私隱政策
  4. 澳門大學處理機密資料指引
  5. 歐盟《資料保護總規章》與您有什麼關係?
  6. 如何識別釣魚、虛假電子郵件及假網站?
  7. 合規時代的資料私隱保障

歐盟《資料保護總規章》與您有什麼關係?

/在: /通過:

歐盟《資料保護總規章》已於2018年5月25日起正式生效。如涉及收集及處理歐盟人士資料,相關負責單位,除了必須遵守本校政策及本澳現行法律法規外,還必須考慮歐盟的新規定是否適用。倘若聘用第三方服務,亦必須考慮相關政策及法律法規是否適用於相關服務供應商。詳情可參閱歐盟《資料保護總規章》相關網站澳門個人資料保護辦公室資料宣傳單張