列印機版本

網絡犯罪 – 真假網站（一）

犯案手法探討及一些使用網上商店的好習慣

2003年12 月，香港發現了一個假冒匯豐銀行的網站，該假冒網站的網址「www.hkhsbc.com」與真正的匯豐銀行網址「www.hsbc.com.hk」極為相近，由於該假冒網站不論在外觀及設計上亦與真實的匯豐銀行網站非常相似，因此該事件在銀行業界及資訊科技業界均引起了很大的迴響，因為不能排除將來會一些有不法分子，用相類似的手法來企圖誘騙用戶登入假的網站，藉此取得客戶名稱及密碼等私人資料，而且，這次事件可能會削弱大眾巿民對網上交易及電子商務的信心。以下將為該案件所引出的一些問題作出探討：

一般假冒知名網上商店的犯案手法及步驟

1. 騙徒會從選定的知名網站擷取網頁內容及有關圖像，仿製一個像真度極高的網站。
2. 騙徒會向域名註冊機構申請一個與該知名網站極為相似的網域名稱。再透過申請海外或本地的互聯網服務供應商所提供的網頁寄存或網址轉向 (URL Redirect) 服務，將該假冒網站在互聯網上發佈。
3. 騙徒會發放大量虛假的電郵，而該電郵往往會提及一些虛構的推廣或優惠資訊以作出誘騙，同時亦會在內文提供一個連結，以方便收件者直接點擊進入該假冒網站。
4. 如用戶不小心地登入該網站並輸入了他們的個人資料如用戶帳號及密碼等，則這些資料可能會被不法分子套取。

培養使用網上商店的好習慣

1. 不要透過電郵內或討論區帖上的連結進入網上商店

強烈建議用戶在登入網上商店之前，必須確保網址的正確性。舉例來說，用戶應好好利用瀏覽器上的書簽 （Bookmark）功能登入網站，並時常核對網址的真確性，更不應該依賴網上搜尋器來找出網上商店的連結。

2. 不利用公用電腦進行網上購物或使用理財服務

由於公用電腦的對象為普羅大眾，電腦管理員亦很難保障電腦的安全性。而且，一些方便瀏覽器用戶的功能（如表單自動填寫或密碼記憶功能等），都可能令你於無意之中留下了一些個人資料。

3. 不要在網上透露個人資料及密碼

用戶的網上帳號一旦啟用後，大部分的網上商店都不會以任何形式（包括電郵及即時通訊等）再次向用戶索取身份證號碼、銀行戶口、提款咭或信用卡密碼等個人資料。而且，網上的資料在未被加密的程況下，保密性及安全性是很難得到保障。如果用戶發現可疑的網站，除了可以主動向該商號提出查詢外，也可以聯絡警方告知有關情況。

4. 定期更改密碼

一旦懷疑你的網上帳號被盜用，用戶就應該立即更改或重設帳號密碼，此外，長時間使用一個密碼、或幾個帳號口都用同一個密碼，都不是良好的習慣。在設定密碼時，亦應該使用由英文字及數字混合組成、多於8 位的字串，並避免使用英文名字、手提電話、身份證號碼及生日日期等。

5. 細閱網站上的私穩政策及安全聲明及認識網上交易保安技術的使用方法

絕大部分提供網上交易的網站都會在網頁上公布它們所採用的私穩政策及安全聲明。站在資訊安全的考量上，我們並不建議用戶在沒有此類聲明的網站進行網上交易，此外，在互聯網上傳輸的私人及交易資料，都應該被加密；而在此類加密傳輸進行時，用戶應該會在瀏覽器下方的狀態列發現一個『金鑰匙』的圖案。對於網上安全的使用，用戶是應該多加留意的，以避免讓假冒網站有機可乘。

6. 配合提示服務的使用

部分網站會為用戶提供網上交易提示服務，此類提示的通訊渠道一般為短訊及電郵，當網上交易完成後，客戶即可收到通知，網上商店也可藉此加強用戶對網上交易的信心。