close
資訊保安

保安從意識開始 從大型企業被黑客入侵中的啓示(三)

上回講及我們應該重視實體保安,注重日常生活上細節,隨時有心理準備被黑客入侵,這樣才不會百密一疏,重要資料被黑客盜去。今回為最終回,希望各位讀者能借著反面教材明白大型企業被入侵而令自己變得更精明。

Computer security concept.

 

注意連結帳戶、提防火燒連環船

Google 、 Facebook 和 Twitter 令用家有更好的使用體驗,可隨時以帳戶進行連結登入,讓你更容易享受網上服務。比方說你可以使用你的 Google 帳戶登入不同類型的網站及社交網絡,可避免製造更多密碼讓別人猜度。但使用同步帳戶登入大型網站固然不是問題,但如果是小型服務連接到你的帳戶,如 Bit.ly ,這就會產生問題。

Bit.ly 是個 URL 簡化網站,容許用家把自己的社交媒體帳戶連接。當帳戶被入侵時,就能把用家權限盜去,重點是容許 Bit.ly 透過 Facebbok 和 Twitter 進入你的連帶有關帳戶,結果當然是損失慘重了。

即使 Facebook 或 Twitter 沒被入侵,人們的帳戶仍然是容易受入侵的。黑客可隨意得到權限在社媒裡看到你很多個人資料如你的真實姓名、電郵、電話號碼、帖文或任何有關社媒的事情。

 

應審核哪些服務可連結帳戶

有些審核服務可審核你的帳戶有哪些連結,如 MyPernissions 可看到有甚麼應用程式會在你的帳戶得到權限,同時可以檢查 Facebook 、Twitter 和 Google 裡的連結,看看會否跳過你的批准而直接進入連結。有時候你可能並不想進行連結活動,但你並不懂得避免,好好地看清楚網站及應用程式是甚麼,避免貪一時之快使用帳戶連結。

更重要的是,當企業被入侵時,馬上檢查你的帳戶,即使你沒有用這些服務。不要只問自己:「我應否容許這公司在我的 Timeline 發表帖文?」,應該問:「我應否相信這公司不會被入侵。」

 

即使專家也會受害

專家也是人,是血肉之驅,也會有機會受攻擊。 RSA 保安公司也曾受害,他們形容此意外為「極端精密的網絡攻擊」。黑客怎樣成功?不斷傳送釣魚式電郵,這些電郵看似是從可信、不同的企業傳送過來,傳給了一班保安員工。

對於普通消費者,我們當然不會有企業級保安系統,事實上我們對保安範疇都會感到厭倦。所以我們有個觀念是:「保安人員是專家,他們能夠處理這些問題」,對於大部分個案,這是事實,因為他們受過專業訓練及受薪,比普通人擁有較好的保安知識絕不出奇。

不過,世事無絕對,即使保安專員也會被入侵。我們不應該假設一個系統會刀槍不入,和只因我們聰明。常常檢查保安系統,修補漏洞,做好備分,以及你需要假設自己會中招,時常警剔才是精明之道。

 

中招時應馬上行動

當不幸事情來臨時,必須要正面地面對,切忌逃避問題。以 Monster.com 為例,他們被黑客入侵,但卻等待幾天後才公開事件。結果, Monster 客戶並不滿意他們行動如此緩慢,並且不作出通知。在那段期間,入侵者能夠完全地看到用家的帳戶,傳送了甚麼電郵和對象,甚至是有關財務上的資料。

這並不只是 Monster 的聲譽受損問題,而是用家也是受害人,沒有暫停帳戶使用,而是讓不法之徒隨便在這段其間利用這些帳戶不斷盜取個人資料。正如之前提及,當大型入侵發生時,最重要是企業必須立刻通知用家,馬上作出反應及預防進一步損失。

至於回到個人層面,當你發現你的電腦或裝置脆弱時,不要遲疑,馬上行動作出修補。這可能花你不少時間,但能制止另一保安問題,不然就會被不法之徒在這期間不停地盜去你的寶貴資料。

 

結語:始終「人」才是最大漏洞

任何最精密的保安都會有漏洞,所以我們最重要是建立意識,意識影響行為。時常作出警醒,隨時預備黑客入侵,這樣才會確保資料不會那麼容易被人盜去,同時黑客和盜賊一樣,都是取易不取難。

Source: Lifehacker

 

Chris Wong

The authorChris Wong

Leave a Response