DC:相信很多聽眾都對中共當局的木馬電郵有應對的經驗,很多聽眾亦知道如何辨別可疑電郵。只不過,互聯網技術日新月異,現時黑客也好,中共當局也好,發放釣魚信息方法亦有所改進。近日有不少Android用戶都發現自己收到了一些可疑短訊後,網上銀行密碼和用戶名都被偷。其實現時短訊病毒之類,發展成怎樣?
李:黑客利用短訊令用戶蒙受損失,這早不是新聞。在以往,這類短訊多數會令黑客可在你的手機暗中打大量長途電話,騙徒藉此騙取長途電話收益。但由於Android作業系統收緊撥出電話的限制,加上執法機關以至電訊公司對相關的電話號碼多加留意,令黑客改變了手段,改為向用戶的手機理財或網上理財密碼埋手,希望獲取更多收益。
現在的釣魚短訊,原理與釣魚電郵大同小異,都是寄出含有可疑網址的短訊,當你打開了有關可疑網址,手機內的一些機密資料就可能被盜走,而這種騙案之所以能夠成事,因為智能手機越來越像電腦,在電腦上會出現的漏洞,亦一樣會在短訊上出現。
DC:那用戶怎樣可以判斷收到的短訊可能是釣魚短訊?光靠短訊發出人資料,可以肯定短訊內容安全嗎?
李:短訊是一種很古老的技術,現時不少人透過電腦,已經可以發出並無來源號碼,甚至偽裝另一個人發出的短訊。甚至用戶要驗證短訊的真確性,比驗證電郵更難,因為電郵還有一些技術信息,可以讓懂得相關技術的人追查來源。但短訊只有電訊公司的技術人員,才能夠追查到真實來源。
因此,只要短訊內包含一些不尋常內容,例如一些奇怪的鏈結,就算短訊聲稱來自你朋友也好,都不要隨便打開。例如中國的黑客,都經常偽裝個別民運人士或組織來發出釣魚電郵一樣。
DC:如果不使用短訊,而是使用Whatsapp之類的即時信息系統,又能否避免釣魚黨的問題?
李:由於Whatsapp之類系統,比起相當原始的短訊有較好的認證功能,很難偽冒個別用戶來發出短訊,因此,不會出現電郵和短訊中有人冒認你朋友發釣魚信息的問題。
但近年中國都有些透過Whatsapp發放垃圾信息的人,因此,如果你收到不認識的人,透過Whatsapp發出可疑鏈結,應該避免打開。就算你熟悉的朋友,如果發現你朋友發了一些奇怪鏈結,亦應提高戒備。特別你的朋友手機被偷,或他被公安、國保等人員拘留的話,你朋友的手機有可能被當局利用作不法用途。因此,不要因你改用了Whatsapp、iMessage等技術,而對手機的資訊安全掉以輕心。
DC:現時很多有問題的釣魚連結都是針對Android平台,那使用其他平台又會否代表免疫呢?
李:雖然iOS的保安規則比較嚴格,直至暫時為止,釣魚網站不易成功得手,但不代表可以掉以輕心,因為黑客不斷研究不同作業系統的漏洞,更何況iOS本身亦有不少漏洞可讓黑客使用。因此,對於一些來歷不明,由短訊送來的鏈結,應採取處處提防的態度,甚至見到立即刪除,避免自己成為下一個受害者。