網絡公投出現釣魚假網站　.hk 域名或陷信心危機

專題特寫資訊保安 by Catabell Lee on 27 六月, 2014

今天（27/6）有網民發現，有兩個假冒 PopVote 網上公投的虛假網站，由於事件可能涉及大量身份證號碼盜用，據報港大民研已就事件報警求助。.hk 域名一向要求較一般域名嚴格，就是為求確保不會被網絡犯罪份子濫用，也讓 .hk 域名較具信心。是次事件會否令 .hk 域名陷入信心危機？

釣魚網站常見以騙取個人資料

其實虛假釣魚網站很常見，案例大多是假冒銀行等金融機構，針對這類短期活動的釣魚網站也很常見。早幾天前，滙豐銀行便就最近發現的欺詐電郵及偽冒網站發表聲明，提示客戶慎防收到欺詐電郵，引誘客戶通過偽冒網站註冊並啟用新的密碼驗證服務。中國銀行（香港）、渣打銀行及恒生銀行亦發出了類似聲明。

除了金融機構，有些黑客確實會利用一些熱門活動而制作釣魚網站，相信是次針對 PopVote 的假網站亦屬此類。例如世界盃期間就出現大量的釣魚網站，利用網民對世界盃的興趣騙取個人資料，或藉由世界盃相關影片在瀏覽者電腦中植入木馬程式。

據趨勢科技收集到的訊息，發現全球和世界盃相關的釣魚網站，主要是偽裝售票的詐騙網站、包裝成遊戲序號產生器的惡意程式、釣魚信件及透過電郵散佈的金融相關木馬程式等。而且為了取信不同地區的網民，黑客甚至會針對性使用當地語言和域名，從而增加「可信性」。

.hk 標榜「夠安全」

自 2001 年起，.hk 網站域名註冊服務便正式推出，至今已有 13 年。負責該服務的香港互聯網註冊管理有限公司（HKIRC）一直強調，.hk 域名是「信心保證」。因一般頂級域名（.com）其實任何地方都可以註冊，但 .hk 域名卻必須證明該企業於香港存在才會獲准成立，因此 .hk 域名的確較具信心的。

據 HKIRC 提供數字，截至2014年5月1日已有逾 26 萬個單位登記，其中「.hk」用戶約佔九成，「.香港」則約佔一成。 HKIRC 行政總裁謝達安表示，「.hk」較「.com」安全，釣魚網站較少，今年初 HKIRC 更推出「.hk LOCK」服務，進一步防止 .hk 網站遇上網頁塗改和域名劫持的問題。

雖然 HKIRC 一直努力提高 .hk 的可信性，但這次出現兩個 .hk 域名的 PopVote 網站，頓時令人懷疑是否出現了漏洞，讓黑客和犯罪份子有機可乘。謝達安在接受 Unwire.Pro 查詢時表示，他們在收到舉報後，已在該天（27/6）中午一點停止了該域名服務，但由於 DNS 更新需時，因此需要兩至三小時才能完全關閉域名。

頂級域名允海外申請

謝達安表示該公司只限制了二級域名，即 .com.hk、.org.hk 等域名，申請者必須具備本港的商業登記或有關證明。他表示 HKIRC 其實是允許、也歡迎外國機構，以個人或團體名義申請通用的 .hk 域名，這是為了照顧一些跨國機構，在申請到香港的商業證明前能先登記，以免被其他人搶註，同時也方便一些以港人為服務對象，但卻是以個人身份在外國經營的業務。

根據 HKIRC 官方網站資料，目前在海外提供 .hk 域名註冊服務的認可代理註冊機構有 17 個，其中今次涉及為 PopVote 偽冒網站提供域名註冊的「西部數碼」亦在其列。謝達安承認，要在域名註冊時便預知對方是釣魚網站是很困難的，只要對方是符合註冊的條件，HKIRC 就會批准申請，技術上不能因而怪罪代理註冊商。

難一刀切處理可疑域名申請

對於是次事件會否影響 .hk 一直以來建立的安全形象，謝達安表示並不特別擔心。他強調 HKIRC 一直都有定期匯報虛假網址和釣魚網站，其中大多都是針對金融機構，他們一旦發現虛假網址就會盡快停止該網域的服務。他指今次事件已盡快處理舉報，而該公司亦提供了專用的舉報電郵地址（abuse@hkirc.hk），但由於每天註冊域名眾多，而相似域名、但提供完全不同服務的機構亦很多，所以很難一概而論，一刀切處理可疑域名申請。

被問到會否因此加強對 .hk 域名申請的審查，謝達安表示其實他們一直會關注一些可疑的申請者，例如使用信用卡付款卻試過不能成功過數，或是看似虛假的註冊電話等等，會要求對方提供更多的證明。而在今次事件後會繼續類似的查核，但就不會特別加強審查。但他認為 HKIRC 可以對新申請域名提高敏感度，若遇上新申請域名跟已有域名相似，可考慮提供警示服務，從而協助有關機構提高對新域名的警覺性。