近日有網店假扮 Nike 官方網站售賣假波鞋,不少巿民中招。警方數據顯示 2015 網購騙案不斷增加,上半年就有 742 宗,涉及詐騙金額 710 萬。除了網購外,香港金融管理局每月都收到不少大型銀行機構匯報釣魚網站、偽冒電郵、可疑手機程式等。
騙徒手法層出不窮,真假網頁愈來愈相似, UDomain 的專家為讀者拆解釣魚網站的技倆,與企業分享如何保障客戶不受假冒網站欺騙而招致損失。
真假網站難分 UDomain 教你如何替網站驗明正身
讀者別以為釣魚網站離自己很遙遠,UDomain 分享一個電子簽證的實例:一名打算到柬埔寨旅行的本港旅客,在互聯網搜尋到一個申請當地簽證的網頁,豈料遞交了個人資料和付款後,才發現是虛假網頁。雖然牽涉金額不多,但提供的個人資料可能會被盜用,亦令原定旅程無法成行。
由此可見,網上服務已經滲入到我們的日常生活中,很難避而不用。那麼市民應如何分辨假冒網站?UDomain 建議大家可留意瀏覽器欄位有沒有綠色鎖頭圖案及機構名稱(如下圖);有即表示此網站已擁有最高級別 Extended SSL 安全證書,網站域名(網址)及組織機構的身份已被第三方核實,確認為官方網站,同時傳輸資料已被加密。
提防中間人攻擊 專家告訴你為何網站需要 SSL 證書
UDomain 項目工程師翁偉翔表示,用戶在銀行或電子商務平台網站註冊、登入或交易等服務都涉及個人資料,這些網站往往會成為不法分子覬覦的對象,一般常見是黑客的中間人攻擊(Man-in-the-middle attack, MITM)。
網絡是由眾多 TCP/IP 協議共同運作,每一個協議或多或少都存在漏洞,只要黑客發現其中一項協議漏洞,就可以欺騙網絡設備,偽裝成網絡資料傳輸必經的中途站(即所謂的中間人)。黑客不須事前在用戶裝置上植入惡意程式,都可以利用漏洞,從中截取資料。與此同時,一般網絡活動仍能正常運作,用戶難以發現。
所以,大型機構(例如:網上銀行、股票買賣、電子商貿等)有必要採用加密連線,例如 SSL 等安全技術,將網絡傳輸內容加密,提供針對性防範,確保用戶與網站之間安全連線。這樣,即使黑客使用中間人攻擊,截取到的資料都只會是無意義的亂碼。
加密連線不容忽視 身份認證更為重要
UDomain 銷售主管王敏儀指,SSL 安全證書除了把資料加密傳送外,也為企業網站「驗明正身」。
即使企業的官方網站只是純資訊網站,不涉及登入或交易資料,例如大型飲食集團網站,可能只提供加盟合作的資料,擁有 SSL 安全證書的話,可以防止有人冒名設立介面相似的網站訛騙,免受生意及商譽損失。
免費 SSL 證書存隱憂 自簽認證隨時網站被封
網絡上有不少免費提供的 SSL 安全證書,它們是否有效可靠?王敏儀解釋,在加密和演算法方面的技術層面上,的確有不少免費 SSL 安全證書可以提供連線和資料傳輸加密。但只有付款的 SSL安全證書方能提供企業最需要的第三方驗證,以核實官方網站的真實身份。
她指出不少免費 SSL 證書多應用於域名上,可以自行簽署認證,所以這些證書往往無效,網址前方會出現紅色帶有 x 圖樣的鎖頭圖示;甚至不少主流瀏覽器如 Google Chrome 等會直接封鎖該網站。若企業使用未經認證的免費 SSL 證書,有可能被瀏覽器誤認為危險網站。當用戶連接企業網站時收到警告,無疑會令用戶信任下降,結果得不償失。
因此, SSL 安全證書的身份驗證功能非常重要。 UDomain 特別建議重視企業形象的公司選用最高級別的 Extended SSL 延伸驗證安全證書。
除了最高安全級別的 Extended SSL 安全證書外,還有可以同時保護一個域名旗下所有子域的 Wildcard SSL Cert 通用型數位憑證;其他例子是身份認證等級較低、申請較快捷的 Single SSL Cert 單域名數位憑證,以及只需安裝一張憑證即可同時保護數個域名的 San SSL Cert 多域名數位憑證。UDomain 會為客戶提供專業分析,挑選最合適的SSL安全證書。
安全證書應用非一蹴而就 專家建議及維護才是關鍵
翁偉翔提到,付費安全證書亦分不同的級別,在購買證書後不是簡單應用到伺服器中就能保障到網站,還需要專業工程師和技術人員進行相應的設定。安全證書分為 A 至 F 不同的級別,就算是同一 SSL 發行商,能獲得的級別也不一樣,利用 SSL Lab Test 就可測試其級別。
如果購買證書後直接應用,評分等級可能只會是 F。翁偉翔解釋,就如電腦軟件一樣,服務產品本身或多或少存在漏洞,只是發現與否和時間問題。因此,網站需要不斷維護和升級。
近年來引起較大影響的 Heartbleed,OpenSSL CCS vulnerability,FREAK attack 等黑客利用漏洞進行攻擊,從伺服器盜取用戶資料而獲利。若漏洞沒有被修補,級別就會下降。
SSL Lab Test 除了測試級別外,亦會列出導致低級別的原因,並提供相應建議。至於如何改善、修復漏洞、維護及更新設定,以提升 SSL 安全證書的級別,就需要專家和技術人員協助。
王敏儀提醒,專業顧問意見、定期維護及全面的技術支援才是選擇 SSL 證書服務商的關鍵。 UDomain 保證客戶取得A級證書,不時關注最新漏洞,以確保第一時間更新相關設定。
維護品牌信譽 額外保險保障客戶企業雙方
網上騙案不斷增加,企業除了專注商品質素和服務外,對維護網上交易安全及保護客戶資料,亦不容忽視。倘若企業的網絡安全保障不足,容讓黑客有機可乘,更有機會面臨客戶索償。
UDomain 早已顧及企業客戶這方面的需要,經它們購買 SSL 安全證書的客戶,可同時享有一萬美元的保險保障。即假如顧客於設有 SSL 安全證書的網店,其個人資料不幸被盜,而需索取賠償的話,該保額能在一定程度上保障網主和顧客雙方。
坊間都有不少標榜低廉收費的證書供應商,但對於企業客戶,一間可以提供專業顧問服務、全面技術支援、相關保險及保證升級至 A 級證書的 SSL 證書供應商至為重要。
對 UDomain 有興趣的讀者可到官方網站 www.UDomain.hk 或致電聯絡 2549 3699 瞭解更多資訊。
