網絡公投出現釣魚假網站 .hk 域名或陷信心危機

今天(27/6)有網民發現,有兩個假冒 PopVote 網上公投的虛假網站,由於事件可能涉及大量身份證號碼盜用,據報港大民研已就事件報警求助。.hk 域名一向要求較一般域名嚴格,就是為求確保不會被網絡犯罪份子濫用,也讓 .hk 域名較具信心。是次事件會否令 .hk 域名陷入信心危機?

今天(27/6)有網民發現,有兩個假冒 PopVote 網上公投的虛假網站,由於事件可能涉及大量身份證號碼盜用,據報港大民研已就事件報警求助。.hk 域名一向要求較一般域名嚴格,就是為求確保不會被網絡犯罪份子濫用,也讓 .hk 域名較具信心。是次事件會否令 .hk 域名陷入信心危機?

 

釣魚網站常見以騙取個人資料

其實虛假釣魚網站很常見,案例大多是假冒銀行等金融機構,針對這類短期活動的釣魚網站也很常見。早幾天前,滙豐銀行便就最近發現的欺詐電郵及偽冒網站發表聲明,提示客戶慎防收到欺詐電郵,引誘客戶通過偽冒網站註冊並啟用新的密碼驗證服務。中國銀行(香港)、渣打銀行及恒生銀行亦發出了類似聲明。

除了金融機構,有些黑客確實會利用一些熱門活動而制作釣魚網站,相信是次針對 PopVote 的假網站亦屬此類。例如世界盃期間就出現大量的釣魚網站,利用網民對世界盃的興趣騙取個人資料,或藉由世界盃相關影片在瀏覽者電腦中植入木馬程式。

據趨勢科技收集到的訊息,發現全球和世界盃相關的釣魚網站,主要是偽裝售票的詐騙網站、包裝成遊戲序號產生器的惡意程式、釣魚信件及透過電郵散佈的金融相關木馬程式等。而且為了取信不同地區的網民,黑客甚至會針對性使用當地語言和域名,從而增加「可信性」。

 

.hk 標榜「夠安全」

自 2001 年起,.hk 網站域名註冊服務便正式推出,至今已有 13 年。負責該服務的香港互聯網註冊管理有限公司(HKIRC)一直強調,.hk 域名是「信心保證」。因一般頂級域名(.com)其實任何地方都可以註冊,但 .hk 域名卻必須證明該企業於香港存在才會獲准成立,因此 .hk 域名的確較具信心的。

據 HKIRC 提供數字,截至2014年5月1日已有逾 26 萬個單位登記,其中「.hk」用戶約佔九成,「.香港」則約佔一成。 HKIRC 行政總裁謝達安表示,「.hk」較「.com」安全,釣魚網站較少,今年初 HKIRC 更推出「.hk LOCK」服務,進一步防止 .hk 網站遇上網頁塗改和域名劫持的問題。

雖然 HKIRC 一直努力提高 .hk 的可信性,但這次出現兩個 .hk 域名的 PopVote 網站,頓時令人懷疑是否出現了漏洞,讓黑客和犯罪份子有機可乘。謝達安在接受 Unwire.Pro 查詢時表示,他們在收到舉報後,已在該天(27/6)中午一點停止了該域名服務,但由於 DNS 更新需時,因此需要兩至三小時才能完全關閉域名。

 

頂級域名允海外申請

謝達安表示該公司只限制了二級域名,即 .com.hk、.org.hk 等域名,申請者必須具備本港的商業登記或有關證明。他表示 HKIRC 其實是允許、也歡迎外國機構,以個人或團體名義申請通用的 .hk 域名,這是為了照顧一些跨國機構,在申請到香港的商業證明前能先登記,以免被其他人搶註,同時也方便一些以港人為服務對象,但卻是以個人身份在外國經營的業務。

根據 HKIRC 官方網站資料,目前在海外提供 .hk 域名註冊服務的認可代理註冊機構有 17 個,其中今次涉及為 PopVote 偽冒網站提供域名註冊的「西部數碼」亦在其列。謝達安承認,要在域名註冊時便預知對方是釣魚網站是很困難的,只要對方是符合註冊的條件,HKIRC 就會批准申請,技術上不能因而怪罪代理註冊商。

 

難一刀切處理可疑域名申請

對於是次事件會否影響 .hk 一直以來建立的安全形象,謝達安表示並不特別擔心。他強調 HKIRC 一直都有定期匯報虛假網址和釣魚網站,其中大多都是針對金融機構,他們一旦發現虛假網址就會盡快停止該網域的服務。他指今次事件已盡快處理舉報,而該公司亦提供了專用的舉報電郵地址(abuse@hkirc.hk),但由於每天註冊域名眾多,而相似域名、但提供完全不同服務的機構亦很多,所以很難一概而論,一刀切處理可疑域名申請。

被問到會否因此加強對 .hk 域名申請的審查,謝達安表示其實他們一直會關注一些可疑的申請者,例如使用信用卡付款卻試過不能成功過數,或是看似虛假的註冊電話等等,會要求對方提供更多的證明。而在今次事件後會繼續類似的查核,但就不會特別加強審查。但他認為 HKIRC 可以對新申請域名提高敏感度,若遇上新申請域名跟已有域名相似,可考慮提供警示服務,從而協助有關機構提高對新域名的警覺性。

 

遇上懷疑虛假網站怎麼辦

若有網民對 .hk 或任何域名網站有懷疑,其實可透過查詢 WHOIS 服務來求證。HKIRC 官方網站(及豁下的香港域名註冊有限公司 HKDNR)亦有該服務提供,只需輸入有懷疑的網址,就可查詢該網址的註冊日期和登記者身份,包括姓名、電郵、公司名稱和登記伺服器名稱等。

若真的遇上釣魚網站,如不幸已經打開連結,除了應立即離開外,亦應找有關工具掃瞄一下電腦,看是否已自動下載了惡意程式。除了之前曾經提過的 Microsoft Safety Scanner,防毒軟件商亦大多有提供清除工具,可以讓懷疑中招的電腦檢查和清除惡意軟件。

若不幸已輸入個人資料,除了應通知有關機構(如銀行),亦應向執法單位舉報。如果是 .hk 網站的話,可以向前述的專用電郵地址(abuse@hkirc.hk)舉報,此外亦應以電話(2860 5012)或網站通知警方防止科技罪案小組。