+

流動支付工具安全使用小貼士

/在: /通過:

近年流動支付大行其道,只要用手機就可以付款,令購物消費更簡單方便!不過在方便的同時,大家有沒有注意在使用上的安全呢?以下是一些小貼士︰

  • 小心看管財物和手機,除了金錢損失外,您的銀行卡或手機電子錢包可能會被盜用。假如遺失身份證明文件,您的個人資料亦可能會被濫用;
  • 切勿為電子錢包過量充值,避免連接大額存款銀行戶口至電子錢包。設定適當交易限額,定期查閱交易紀錄,及定期更改帳戶和交易密碼;
  • 避免使用公共場所、來歷不明或不安全的網絡進行電子錢包交易,亦應盡量避免暴露付款二維碼畫面;
  • 提防釣魚訊息,尤其涉及紅包、消費優惠、轉帳要求、密碼或個人資料的訊息,必須確認對方身份真偽,以免招致任何損失;
  • 保護流動設備
    • 使用密碼或指紋來保護您的設備;
    • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
    • 確保操作系統及軟件,包括防病毒保護,在最新的版本;
    • 請勿破解操作系統,以及避免從不知名的網站下載及安裝軟件;
  • 啟動電話智能卡密碼(SIM PIN),大部份電子錢包註冊、帳戶找回密碼功能或網上交易,都有可能需要利用電話短訊進行身份驗證。啟動密碼,有助減少因遺失智能卡而被盜用身份的機會;
  • 使用領有牌照的電子錢包服務,以及仔細閱讀相關條款和責任,了解報失程序、盜用保障條款等等。

如遺失手機,請保持冷靜,可嘗試運用手機遠程追蹤尋找手機,或遠程消滅資料功能防止盜用。另外,如有需要請向相關銀行或服務供應商進行報失處理,例如:報失銀行卡、電話智能卡、凍結電子錢包帳戶等。

網上安全與保障的基礎知識

/在: /通過:

在互聯網世界中,每分每秒都進行著各種各樣的活動,如網上購物、瀏覽網頁、電子銀行、網上遊戲等。伴隨這些活動而來的,卻是很多不同的網絡威脅,如釣魚攻擊、身份盜用、欺凌和位置追蹤等。在數之不盡的網絡威脅下,我們應如何在不影響網上活動的同時減低這些網絡威脅風險呢?以下是一些簡單的提示:

  • 為帳戶設定警報 可考慮為您的財務帳戶設定通知。一般銀行都提供帳戶活動通知功能,當您的帳戶發生超出指定金額的交易時,便會以電郵或短訊方式發出通知,從而讓您掌握帳戶的活動。相比於月結單,這類通知能讓您更快地了解賬戶交易狀況。當收到未授權的交易通知時,可以立即向相關銀行查詢。事不宜遲!請盡快在網上銀行為您的帳戶設定活動通知功能吧!
  • 保持設備和應用程式處於最新狀態 陳腔濫調但確實很重要,謹記保持設備的操作系統和應用程式均處於最新狀態,以確保安裝最新的安全修復程式。
  • 小心使用公共 WiFi 熱點 在連接到公共 WiFi 熱點時,避免進行銀行交易或處理敏感資料。
  • 個人資料等同金錢,務必重視及保護它 當進行網購時,請注意網站所收集的資料對其交易是否有必要性, 細心考慮供應商是否有必要獲得這些資料,在結賬時只須填寫必填的資料項目;
  • 保持警惕 請注意,網上有很多假冒網站試圖騙取他人的寶貴資訊。您可透過仔細檢查網址以確保其拼寫正確,以便確認連上合法網站。另外,您必須注意合法網站通常於網址欄中有鎖頭標示,網址亦會以 https:// 開頭。

只要時刻緊記以上安全提示,便可繼續安心上網!

資訊安全是每個人的責任

/在: /通過:

您知道嗎?近年來,世界各地不同行業機構先後發生資料外洩事件,當中包括教育機構、航空公司、政府機關、銀行及金融機構、電子商務、互聯網服務供應商等。在這些案例當中,過半數的資料洩漏事件均是人為疏忽而引起,常見有電子設備遺失、文件遺失、以及無意中披露資料等。事實上,只需實行一些基本的資訊安全防護措施,就可避免此類事件的發生。

  • 為了保護數據,您每天能做些什麼呢?不同行業都有機會需要傳送、處理、讀取和分享不同類別的資料,可是沒有一份適用於各行各業的資訊安全通用守則,不過每個人都應該有責任認識一些基本的資訊安全防護措施,並使用來保護資料,以及防止資料被不當處理。
  • 謹慎發佈或傳送資料:很多保密資料洩漏事件,主要就在我們「一時糊塗」間公開發佈、錯誤處理,或者錯誤填寫收件人電郵地址等。因此在發佈或傳送資料前,必須校閱內容及收件人的電郵地址;
  • 使用複雜且獨特的密碼:不同的帳戶應使用不同的登入密碼,尤其是用於處理保密資料的帳戶;
  • 啟動雙重認證:即使帳號及密碼被盜或遺失,雙重認證也能防止帳戶被盜用;
  • 保護您的電子設備:除了使用密碼鎖外,還建議使用一些生物特徵辨識技術,來保護您的智能電話和平板電腦。這樣可防止個人資料、公司電郵資料、以及網購或手機銀行資料,被充滿好奇心的他人讀取。另外,這也能保護不慎遺失或隨意放置的電子設備;
  • 更新您的電子設備:請確保您所有電子設備上的操作系統、瀏覽器和軟件更新至最新的版本;
  • 在發送資料給供應商或簽訂合同前,您準備好了嗎?在日常工作中,我們有義務去確保大學的保密資料得到適當保護,尤其需要使用外判商或雲端服務,如果使用的服務或技術牽涉保密資料,您必須在項目開始前或簽訂合同前,考慮相關的資訊安全技術,確保資料得到適當保護。

相關之資訊安全貼士

你為防範勒索軟件做好了準備嗎?

/在: /通過:

勒索軟件是一種惡意軟件,它透過加密用戶電腦上的文件,並封鎖當中的資料以要脅用戶。通常用戶必須支付「贖金」或費用,以獲得解密金匙才可為資料解鎖。另外,勒索軟件亦可能會通過網絡,散播到其他網絡設備或網絡磁碟機上。預料勒索軟件攻擊事件往後亦會不斷發生。

其實怎樣才會感染勒索軟件?
勒索軟件攻擊常見的載體,包括帶有惡意附件或惡意網站連結的電郵。也可能透過即時通訊軟件散播,而勒索軟件更可能會避過防病毒軟件的偵測,因此用戶必須保持警惕。

如何保護自己免受勒索軟件攻擊?
預防勒索軟件有兩個主要方法:

  • 作好準備:定期備份資料。因為一旦受勒索軟件攻擊,用戶未必能及時發現,通常到發現時已經為時已晚,大部分資料已被加密而無法取用,可能您一些重要研究項目或其他資料將會永久失去;對於由資訊及通訊科技部所提供的電腦,已為連接大學內聯網的桌上電腦和手提電腦,提供基本備份資料功能,詳情請參閱電腦資料備份。另外,用戶可按需要考慮為重要資料定期進行額外備份,建議將相關資料備份至外置儲存裝置中並離線存放;
  • 加強認知:勒索軟件通常利用網絡釣魚電郵進行散播,包括帶有惡意附件或惡意網站連結的電郵。亦可能會透過彈出的視窗進行的勒索軟件攻擊,例如出現電腦已被感染的警告字句,誘騙用戶按鍵進行免費掃描。另一種可能的傳播途徑是惡意廣告,通常會魚目混珠地嵌入其他正常網站中欺騙用戶。

謹記四個確保

  • 確保定期進行資料備份。由於勒索軟件可以加密電腦上的資料,以至任何連接的磁碟機,可能包括連接的雲端磁碟機,如 Dropbox,因此切記如上所述,建議定期將資料備份至外置儲存裝置中並離線存放;
  • 確保能夠從備份中還原文件,用戶可定期從備份中還原部分資料以進行測試;
  • 確保防病毒軟件是最新的並且正常運行;
  • 確保電腦程式在最新的狀態,以確保使用的系統及軟件為最安全的版本。

果受到勒索軟件攻擊該怎麼辦?

  • 立即向相關技術支援中心報告事件;
  • 隔離或關閉受感染的電腦或設備,或關閉無線網連線或拔出網線;
  • 盡快從網絡中刪除受感染的系統,以防止勒索軟件攻擊網絡或共享驅動器。

如何安全地使用個人及家用網絡設備?

/在: /通過:

在現今資訊科技普及的年代,個人及家中使用不少連接互聯網的設備,包括智能電話、智能手錶、家用路由器、電子遊戲機,以及各式各樣的智慧家居設備等等。令生活帶來方便的同時,亦可能帶來一些資訊安全風險。因此提供一些安全貼士,希望幫助大家保確使用的設備成為您的資產,而不是負擔。

    • 確保電腦程式在最新的狀態 應定期更新設備的系統及軟件,如果已安裝防惡意軟件程式亦應注意更新,以免受到惡意軟件的破壞或感染;
    • 保護您的網絡 無線網絡亦應受到正當的保護,必須使用WPA2加密連線功能、複雜密碼及定期更新家中的 WiFi 路由器的軟件;
    • 深入了解您的設備 必須了解設備連接到互聯網上的作用、與Internet的連接性質、以及存儲和傳輸的信息類型等;
    • 了解如何保持設備的最佳狀態 細閱使用說明,清楚了解所有必須的安全使用方法,包括更改預設密碼及注意事項;
    • 了解被收集的數據內容 部分智慧型設備都會進行數據收集,務必多了解收集數據的類型,以及相關產品如何管理和使用收集得來的數據內容;
    • 認知您的數據儲存方式 智慧型設備大多都會將收集到的數據,發送並儲存在雲端中,因此用戶應該了解數據的儲存位置,以及保護個人資料的安全措施;
    • 多做些研究 在採用新的智慧型設備之前,請先進行研究,以了解其他用戶對該設備及服務供應商,在安全性和隱私性的評價。

保護重要資料您真的做好了嗎?

/在: /通過:

隨著電腦設備儲存的資料越來越多,尤其流動設備使用之普及,如智能手機、平板電腦和筆記型電腦等設備,其內在價值及可攜性等原因,容易成為不法分子的目標。透過以下提示,希望一但設備被盜或遺失時,資料亦會受到一定程度的保護:

  • 加密敏感資料 為檔案增加一層防護,可使用電腦操業系統內附的加密工具(如BitLocker或FileVault)。
  • 保護流動設備和進行資料備份 確保為每個設備均做好資料備份,當有需要時便可放心地透過遠程操作為設備上鎖或清除所有資料。另外,進行資料備份不僅能用作資料還原,而且更可準確地識別遺失的資料,方便匯報及為具安全風險的資料進行適當之行動。
  • 於公共場所或辦公室中,切勿任由設備無人看管 如把設備留在車廂內時切忌外露,請把它放置於車廂櫃桶內。另外,亦要注意停泊後車廂內的高溫可能損壞您的設備。
  • 使用密碼保護設備 透過使用密碼、PIN、指紋掃描或其他形式的身份驗證,一旦設備被盜或遺失時,亦可有更多時間為資料進行遠程清除。請緊記,不要選擇允許電腦記住密碼的選項。
  • 善用碎紙機 在清理含個人資料、醫療紀錄、財務狀況或其他敏感資料的文件時,請先把它們碎掉。
  • 勿隨意回收或棄置舊電腦和流動設備 進行前請先銷毀電腦的硬碟資料,把設備進行還原出廠設定、移除或清除SIM卡和記憶卡。
  • 檢查應用程式的許可權限 在安裝應用程式之前,應先細閱使用說明及有關隱私許可權限!
  • 小心使用公共Wi-Fi熱點 在連接到公共Wi-Fi熱點時,避免進行銀行交易或處理敏感資料。
  • 經常進行軟件更新 如果供應商發佈了設備軟件的更新,請儘快安裝,以防止黑客利用漏洞進行攻擊。

萬一設備被盜可考慮報警,並保存警方紀錄或報告。倘若遺失之設備涉及大學敏感資料、職員或學生資料時,請立即向大學報告遺失或被盜情況,以便儘快採取適當行動。

雙重認證 – 可掌控於手中之帳戶安全

/在: /通過:

假如有人偷取您的帳戶密碼,有沒有方法令您不用擔心帳戶會被盜用?其實很簡單!只要透過使用雙重認證 (Two-Factor Authentication,2FA) 就能輕易實現,令用戶能掌控帳戶登入控制權,沒有用戶的授權就沒法登入帳戶,而只需花幾分鐘簡單完成設置即可使用,操作時亦十分容易!是一項既簡單又高效的措施!

  • 雙重認證的工作原理如何?為帳戶啟動雙重認證後,只要任何人試圖登入帳戶,便會在預先註冊的智能手機或其他設備中,收到授權登入的要求,在沒有您的授權下,騙徒即使取得正確密碼亦無法登入帳戶。
  • 設置雙重認證是否很困難?現時,雙重認證的應用已相當普遍,而且簡單易用。在一般情況下,只需在智能手機安裝雙重認證應用程式及完成簡單註冊程序後,便能在有需要時作出授權操作。
  • 可否不用每次登入時都作出授權?儘管有些帳戶對登入或進行特定操作時,每次均必須進行授權操作。但在大多數情況下,雙重認證會提供一些便捷功能。例如默認授權功能,通常用戶在首次完成授權操作後的預設時間內,於同一電腦的瀏覽器中再次登入時不會再要求授權,但切勿在公用電腦上使用默認授權功能。
  • 應該透過雙重認證保護哪些帳戶?其實建議儘可能為所有的帳戶啟動雙重認證,建議先保護以下帳戶:
    • 工作的帳戶:理所當然的,員工必須遵守一些保護資料相關法律,以及公司或機構的保護資料政策、指引和程序;
    • 財務賬戶:保護您的財產!
    • 網上購物帳戶:保護存儲的信用卡和個人資料免受盜用!
    • 社交媒體帳戶和個人電郵帳戶:可能會被盜用身份,關乎您的個人聲譽!

參考資料

保護流動設備您真的做好了嗎?

/在: /通過:

流動電話、平板電腦和手提電腦,一直以來為我們提供隨時隨地的工作方便,與此同時也額外帶來一些安全隱患。這些流動設備,一方面令存儲和使用資訊變得容易,另一方面卻也很容易遺失或被偷竊。假如您的設備丟失或被盜,您知道該怎麼辦嗎?以下提供一些資訊安全貼士:

  • 保護您的設備,使用密碼或指紋來保護您的設備,以免被其他人使用;
  • 啟動防偷竊及遠程消滅資料功能,以防丟失或被盜;
  • 保護您的資料,定期進行資料備份,並考慮為您的設備啟用加密功能;(請參閱《重要資料遺失隨時會發生,資料備份做好了嗎?》)
  • 確保電腦程式在最新的狀態,更新軟件,包括防病毒保護,以確保使用的系統及軟件為最安全的版本。避免從不知名的網站下載及安裝軟件;
  • 別忽略設備的實體安全措施
    • 如有需要,可蓋住筆記本電腦或移動設備的鏡頭以保障隱私;
    • 可在設備上標示基本的聯絡資料,一旦遺失設備較容易尋回!
    • 記錄並妥善保存設備資料,包括生產商名稱、型號、設備序號,以及能提供支援的聯絡資料等;
    • 萬一設備被盜可考慮報警,並保存警方紀錄或報告。

參考資料

慎防釣魚陷阱

/在: /通過:

   「網絡釣魚」是社交工程中的一種誘騙手法,網絡犯罪分子會透過這種手法來誘騙受害人作出某種預期的行為。社交工程是所有網絡釣魚攻擊的核心,尤其是通過電子郵件來進行攻擊。資訊科技發達的同時使網絡釣魚變得簡單,要設置及操作網絡釣魚攻擊是非常快捷、廉價和低風險的,任何網絡犯罪分子都可以發起這種攻擊。在回覆任何電郵之前,必須確認寄件人身份,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心。大多數的釣魚電郵都有一些如下特徵:

1. 小心非官方電郵地址 舉例說,ICTO服務中心大概不會使用類似如下兩個電郵地址,進行用戶通訊。請注意當帶有寄件人名稱格式的電郵地址,其寄件人電郵地址必須包含於”< >”或”[ ]”內,而前半部分只屬於顯示名稱,不能用於識別寄件人身份;
  • @ — ICTO服務中心的正式郵件不會使用第三方電郵服務的地址域名;
  • @ — 由於@connect.um.edu.mo是學生或校友電郵服務的地址域名,ICTO服務中心的正式郵件不會使用@connect.um.edu.mo。
2. 提防電郵附件 電郵附件是傳送惡意軟件最常見途徑。當收到帶附件的郵件時,除非確定它的來源是安全可靠,否則不要打開;
3. 催促收件人是典型釣魚郵件技倆,催促收件人使其更有可能合作,例如催促檢證帳、協助購買網絡預付卡、轉帳金錢等等。如果電郵內容指示您必須立即採取某些行動否則會終止使用權限等,請務必冷靜應對,網絡犯罪分子常以恐嚇手段,希望您不假思索地跟隨行動;
4. 不正確的URL連結 通常會引導連接到一個欺詐網站,而非合法網站;
5. 偽冒電郵署名 黑客可能從某處獲得真實的電郵署名樣式,即使看起來真實,但不建議以電郵署名來判斷電郵真偽。不過如果發現署名樣式不尋常,當然必須提高警覺;
6. 不能信任寄件人頭像相片 黑客可能從某處盜取寄件人頭像相片,例如社交網站;
7. 使用不同通訊渠道 如寄件人提出可疑要求,您可使用不同的通訊渠道查明真實,例如透過即時通訊軟件或話音通訊等。

個人資料私隱保障與電郵使用技巧

/在: /通過:

在現今資訊化時代,電子郵件成為日常不可或缺的通信工具,而且也成了主要的溝通工具之一。郵件的安全性變得愈來愈重要,對於外來攻擊如電訊詐騙及惡意軟件攻擊等,雖然用戶的防範意識日漸提高,但用戶使用電郵可能出現的問題也不容忽視。尤其涉及與他人的個人資料有關的工作時,必須加倍小心謹慎。為進一步提升用戶使用電郵的安全技巧,提供以下一些安全小貼士:

  • 發送電郵之前,必須校閱電郵內容、附件、以及收件人的電郵地址是否正確;
  • 回覆電郵之前,必須確認寄件人身份,勿隨意回覆電郵,尤其回覆內容涉及敏感內容,例如金錢、個人資料或帳戶密碼等,務必加倍小心;
  • 轉發電郵之前,必須了解郵件內容是否適合轉發,包括附件及電郵的對話歷史紀錄內容,亦可考慮按需要摘錄部份內容,以代替轉發整封電郵。亦不要隨意轉發未經證實的內容,以免散播謠言誤觸法網;
  • 群發電郵時,謹慎考慮其群發必要性,善用電郵系統資源。詳細請參閱「群發電郵與使用郵件群組的指引(英文)」;
    慎用「回覆所有人」功能,任意回覆所有人,可能製造不必要的打擾,謹慎考慮其必要性;
  • 善用密件副本(Bcc),使用密件副本,確保不讓收件者彼此間看到其他收件人的電郵地址,從而保障各收件人的私隱;
  • 注意郵件內容及附件請勿傳送過多內容或附件,尤其涉及個人資料。如含有敏感內容,更必須考慮是否適合透過電郵方式傳送。另外,使用電郵時亦必須遵守本校政策及本澳現行法律,以及其他司法管轄區可能適用的法律。(請參閱參考資料)
  • 不要依賴電郵回收功能,畢竟覆水難收,其實電郵回收功能屬於輔助功能,只能盡量減少影響,但絕不能保證百分百能收回誤寄的電郵。

另外,用戶可以習慣在撰寫電郵後,才填寫收件人的電郵地址,以免誤寄未完成的電郵。如有需要在聯絡人資料中選擇電郵地址,必須注意避免誤選相似的電郵地址。

*參考資料