洩漏客戶資訊引發釣魚
今時今日即使你見到一個驚人的標題,先要保持冷靜,弄清事實。前周數碼安全界傳出驚人訊息,標題大概為「Google 25億個帳戶外洩」,驟眼還以為帳戶被攻破,實際上是Google用作管理企業客戶資料的第三方供應商Salesforce系統遭到黑客入侵,內藏企業聯絡資訊與支援紀錄。Google亦澄清並未有帳戶密碼或儲存的資料洩漏。儘管如此,企業客戶資料屬敏感資料,可成為盜取身份及釣魚工具的重要輸入,一旦將以往洩漏的資訊整合,不法份子就可進行高精準釣魚,令對方上釣機會大增。部份企業帳戶員工就是收到訊息,對方能準確描述企業資料而上當。一旦釣魚成功,將引發連鎖效應。一來對方可借用企業的電郵發送釣魚訊息至其客戶。二來經過釣魚取得密碼資料,就可以用來推演並攻擊其它關聯帳戶,因為不少人為了貪方便,可能利用同一密碼或以簡單的程式製造密碼。由於事件洩漏龐大資訊,影響將會持久且深遠,企業急需要對員工加強針對性培訓。事件還帶出另一問題,用戶根本不知道有這樣一個服務商。即使知道,一般人亦難以衡量這個第三方風險。供應鏈風險管理不足,正正就是今天數碼安全的極大難題,你使用的硬件軟件網上服務等,全部面對該風險。極權國家看準供應鏈,到處上下其手,威脅全球資訊安全。
坊間建議隔靴搔癢
針對事件,網上很多文章提供風險管理建議,不過大都圍繞更改密碼、使用更強獨特的密碼、啟用二次認證、執行安全檢查、保持警覺等等,筆者懷疑部份文章可能是AI生成,明顯缺乏深思熟慮。控制風險,先要搞清楚事件性質。Google事件屬供應鏈攻擊及釣魚,釣魚的目的就是讓你主動提供密碼,情況等同賊人的目標是偷取你的鎖匙,而不是破解門鎖,所以門鎖再強並無針對問題,密碼再強亦無法防止釣魚。二次認證效用較高,因為黑客一旦被踢出帳戶便無法再登入,亦可防止黑客修改帳戶重要資料,包括密碼及權限設定等。但若黑客已進入帳戶,極可能已下載資料或利用帳戶發電郵,只是止蝕之舉。檢查安全設定非常籠統,到底檢查甚麼?在事件中指的應是檢查登入紀錄及有效的登入Session。當你登入任何帳戶時,軟件或瀏覽器便保持一個開啟的Session,直至你登出或清理瀏覽器曲奇為止。任何長期開啟的Session都增加被騎劫的風險。良好的習慣就是帳戶使用完畢應該馬上登出,且經常檢查並強制停止所有非正在使用的Session。此舉亦可停止黑客繼續利用帳戶。保持警覺是永遠都需要,因為數碼世界為威脅只會不斷升級。媒體天天宣傳提高警覺以免被騙,還是大量人「中招」。保持警覺只是口號,能保持警覺靠的是知識與邏輯思考。
(NICHOLAS KAMM/AFP/Getty Images)
真正應對風險有法
Google事件再次提醒大家,數碼世界的供應鏈風險及釣魚風險無時無刻威脅所有人。請你先記着Web 3.0內的零信任口號:「 永不相信,必須核實」。筆者在本欄亦反覆提及「你永不知道訊息發送者的真實身份」。AI時代這兩句話更具威力,OpenAI創辦人已經警告,世界進入詐騙新時代。任何關鍵動作,包括登入、提供個人資料、涉及金錢交易等,必須用其它方法核實對方身份。密碼認證方式已經過時,改用Passkey是穩妥的方法,讀者可參閱本欄前期文章《Passkey:不需密碼可安全登入》了解其運作。但使用時需要考慮冒充者聲稱Passkey無法運作而要求你輸入密碼作為後備方案。所以你要考慮將關鍵帳戶升級至完全取消密碼作為後備登入方式,取而代之是硬件登入,例如利用USB Key。若未有條件使用Passkey,起碼使用密碼管理器並開啟二次認證。每個帳戶應使用極不相同的密碼,並定期更新,減低其它帳戶遭受暴力破解的機會。提供基本資料給服務者實屬避無可避,所以對於關鍵服務你要對服務的第三方供應商要有一定了解,避開那些聲譽不良或受極權控制的企業。你要清楚考慮服務的性質,將提供資料减至最少,甚至分散至不同地方。敏感的個人或商業資訊,就算數碼服務例如電郵帳戶或雲端儲存等,聲稱已有加密處理,你仍要考慮將資料額外加密,即使黑客入侵帳戶亦可保障資料不失。
每次發生同類事件都是反思的機會。清楚了解風險所在,提升個人知識,加強邏輯思考,預先準備,當再到這樣的新聞,你能確定與你無關,不用採取任何行動,你才算小勝一仗。◇
----------------------
【新】📊 每周財經解碼
https://tinyurl.com/2asy8m4p
🔑 談股論金
https://tinyurl.com/yc3uda7e
----------------------
【不忘初衷 延續真相】
📰周末版實體報銷售點👇🏻
http://epochtimeshk.org/stores
