电子邮件安全
日期 : 2015年3月20日
机构 : 香港资讯及系统保安专业人员协会 (HKISSP)
作者 : 陈皛聪
一名政界人士的电邮帐号月前被盗用,事件引起各界对于个人资料保护的关注。
据事主表示,早前收到一封「朋友」发出的「紧急」电邮要求协助,并且诱导事主打开电邮附件,怀疑因此外泄电邮密码。
网路钓鱼是一个十分常见的攻击手法,其手法普遍透过电邮、社交网站或即时通讯(IM)进行,以假扮受害者信任的公司、人物等,博取受害者信任,从而获取个人资讯。如上述例子所述,收件人信任来自发件人的电邮,在「紧急」的情况下打开内置特洛伊木马程式(Trojan)的附件或网路连结,攻击者可透过该木马程式入侵其电邮帐号,获取敏感资讯,如电邮密码,与银行的电邮纪录等。
要避免泄漏个人资讯,蒙受损失,可以从几方面入手:
1. 帐号安全设定
- 定期更改密码
- 帐号密码应每3个月更换一次,视乎其安全考虑。密码本身亦不能过于简单,应以大小楷英文混合数字符号组合密码,以免被攻击者撞破。另外,避免设定与其他电邮、社交网站或IM等一样的密码。
- 设定两步骤验证(Two-Factor Authentication )
- 现在很多电邮系统均设有两步骤验证,输入登入帐户和密码后会透过手机程式或SMS讯息等输入验证码才能成功登入,为使用者提供多重保障。
2. 辨别可疑的网址/附件
- 养成良好的习惯,切勿随意开启电邮上的网路连结或附件,如情况紧急,应直接联络发件人,以进一步证实电邮内容。
3. 其他电邮日常使用的习惯
- 电邮内容不要提及敏感资讯
- 定期清理邮件
- 定期检查电邮登入纪录
