電子郵件安全 (Chinese Version Only)
Date : 20 Mar 2015
Organisation : Hong Kong Information and System Security Professional Association (HKISSP)
Writer : Edwin Chan Hiu Chung
一名政界人士的電郵帳號月前被盜用,事件引起各界對於個人資料保護的關注。
據事主表示,早前收到一封「朋友」發出的「緊急」電郵要求協助,並且誘導事主打開電郵附件,懷疑因此外洩電郵密碼。
網路釣魚是一個十分常見的攻擊手法,其手法普遍透過電郵、社交網站或即時通訊(IM)進行,以假扮受害者信任的公司、人物等,博取受害者信任,從而獲取個人資訊。如上述例子所述,收件人信任來自發件人的電郵,在「緊急」的情況下打開內置特洛伊木馬程式(Trojan)的附件或網路連結,攻擊者可透過該木馬程式入侵其電郵帳號,獲取敏感資訊,如電郵密碼,與銀行的電郵紀錄等。
要避免洩漏個人資訊,蒙受損失,可以從幾方面入手:
1. 帳號安全設定
- 定期更改密碼
- 帳號密碼應每3個月更換一次,視乎其安全考慮。密碼本身亦不能過於簡單,應以大小楷英文混合數字符號組合密碼,以免被攻擊者撞破。另外,避免設定與其他電郵、社交網站或IM等一樣的密碼。
- 設定兩步驟驗證(Two-Factor Authentication )
- 現在很多電郵系統均設有兩步驟驗證,輸入登入帳戶和密碼後會透過手機程式或SMS訊息等輸入驗證碼才能成功登入,為使用者提供多重保障。
2. 辨別可疑的網址/附件
- 養成良好的習慣,切勿隨意開啟電郵上的網路連結或附件,如情況緊急,應直接聯絡發件人,以進一步證實電郵內容。
3. 其他電郵日常使用的習慣
- 電郵內容不要提及敏感資訊
- 定期清理郵件
- 定期檢查電郵登入紀錄