Facebook/Google帳號秒被盜!超像真釣魚網站湧現 做好1步免中招

撰文:蔡浩騰
出版:更新:

釣魚網站騙局 做少一步、1秒盜取你的Facebook/Google帳號!|網絡世界雖然方便,但卻是眾所周知的危機四伏,除了不時爆發的木馬程式、電腦病毒,還有一類陷阱會以偽裝登入頁面,利誘用戶自行輸入敏感資料如不同網頁的登入資訊等等,亦即是所謂的「釣魚(Phishing)」,而這種詐騙手法近年有進化的趨勢。

釣魚網站進化、舊式辨別招數不管用?

釣魚網站多年來不斷進化,最初它們只是外表上做得像原版網站,然而其網站必然需要找到正牌網站以外的伺服器作儲存,故各類保安專家都建議網民在登入前可以先核實網址資料。

年前香港突然爆出的郵政局釣魚陷阱,就是典型的舊式釣魚網站,而其網址開首則是不明所以的「1612398.atohost.com」(資料圖片)

然而近年黑客就利用不少網站會用到 Google/Facebook 等帳號作快速登入的特性,建立出「頁中頁」的陷阱設計(Browser in the Browser,簡稱「BitB」),由於這些「頁中頁」並不需要連上真正的網站,故其網址列亦可以一併偽造,使之驟眼望去根本難以分辨,令用戶的中招機率大增。

👉 手機碰瓷黨出沒|以屏幕破裂手機敲詐某類路人!提防中伏兩大重點

為了讓大眾了解了這種陷阱的嚴重性、並強調舊式以網址分辨假網站的招數已失效,有名為 mr.dox 的網絡保安研究員就開發了一個簡易的「頁中頁」範本並放到 GitHub 上分享,並期望此工具可以供不同企業或一眾「白帽黑客」使用,以便測試不同網站的保安措施是否周全。

利用此範本製作的登入頁面幾可亂真,連網址都可以做到9成相似,網民就更容易上當(圖 mr.dox)

做好二步認證、可保帳戶周全

「頁中頁」形式的釣魚陷阱可謂防不勝防,用戶稍一不慎就會將自己的帳戶登入資料拱手相讓,然而這只限於單一帳戶、密碼的外洩,其實還是有招數可以防禦,而答案,則仍是老生常談的二步認證(2-step Authentication)。

目前絕大部份的網絡大企業如 Google、Facebook、Instagram 等都可以開啟二步認證,只要設定好後,即使帳戶名稱及密碼外洩,其在登入時仍然需要用戶以貼身的裝置(最常用的是手機)作出進一步的認證程序,例如輸入 SMS 碼等等,就可以有效地避免帳戶控制權被瞬間奪走,各位可不要為一時方便而放棄二步認證。

👇👇👇即睇Google Authenticator兩步驗證加強Instagram保安👇👇👇

+7

👉 消委會教路手機相機電池保養6招 鋰電快老化?這樣充更耐用

👇👇👇即睇Google Authenticator兩步驗證加強Facebook保安👇👇👇

+6

同場加映:消委會踢爆疫下3大網購騙局|貨到付款、直播帶貨皆可是騙財陷阱

新冠肺炎疫情已持續超過2年時間,這段期間全世界形成的「新常態」,減少了人們出外購物的機會與時間,令以手機/電腦進行網購比從前更為平常。不過在不能實際接觸到貨品的前提下進行購物,可以衍生的問題都相當多,包括各式各樣的騙財陷阱。👉👉👉香港消委會近日在新一期的《選擇》月刊公開了幾個網購陷阱的個案,供各位消費者參考警剔。