資 訊安全小貼士系列
注意「社交工程攻 擊」



0張相片




在過去兩期專欄中,我們已討論有關使用熱門社交網站如 facebook、mySpace 及twitter等應注意的事項。當大家盡力保護個人私隱及避免受到惡意內容和程式碼無聲無息地攻擊時,亦不可小覷「社交工程攻擊」(Social Engineering Attack)的威脅。

「社交工程攻擊」其實是以影響力或說服力來欺騙他人,甚至利用人性的弱點,獲取有用的資訊作非法用途。最典型的例子是不法分子偽裝為公司董事,打電話給電 腦部的同事,聲稱忘記了自己的密碼或其他用戶資料。由於他們了解一般同事怕開罪上司的心理,以及不太注重資訊安全的態度,因此部分同事在沒有核實來電者身 份的情況下,跟從「老闆」的指示透露敏感資料。當不法分子獲得資料後,便可入侵公司的系統以達至他們的目的,或造成其他破壞。

為何「社交工程攻擊」對網民有這麼大的威脅呢?答案非常簡單,因為有關不法分子其實不一定需要對電腦有專業的認識,卻能透過這種手段獲取他人的資料。因此 「社交工程攻擊」所造成的破壞力跟其他的攻擊同樣嚴重。

怎樣預防「社交工程攻擊」?

* 切勿透露敏感資料 -切勿在社交網站向身份不明的人透露敏感或個人資料。

* 經常確認對方身份 - 若對對方身份有懷疑,必須透過其他途徑來再三核實,你可透過公司電郵、公司電話號碼或值得信任的第三者協助認證。

* 切勿張貼個人資料 - 切勿在社交網站上張貼一些非必要的個人資料,如出生日期、住址、電話號碼、職稱等,不法分子會利用這些資料,登入你的工作、信用卡、銀行帳戶等。

* 小心選擇密碼重設問題 - 設定帳號時,大部分網站都會要求你輸入保安問題和答案,以備日後忘記密碼時核實身分,並重設帳號。網站預設的問題選擇不多,例如:「母親的姓氏」、「寵物 的名字」等,不法分子卻很容易地在你的社交網站或透過「社交工程攻擊」找到答案。所以在選擇問題或張貼個人資料時,必須小心及謹慎,以防個人資料外洩。




<<返回特 寫>> <<返回頁頂>>