科大首推網絡安全碩士課程 從犯罪心理制定防騙策略
「所有的詐騙都不是技術性,其實是用心理,一步一步引你墮進圈套。」對網絡安全素有研究的許佳龍說。
許佳龍表示,目前很多網絡保安課程,都是傾向技術性的範疇,例如會教學生如何設立防火牆;或是如何設定電腦系統、將資料加密等,如果是訓練資訊科技(IT)從業員是有用的。
然而理解網上攻擊和保安,絕對不是一個純粹技術的題目,必須認識騙徒及受騙者的心理及行為。防騙也不單是設備系統的安全要求,還有相關的政策要配合,是一個綜合性的題目。
例如更換密碼,要如何設置密碼組合?要多久才更換一次?都十分講究。
「密碼愈長愈難被拆解,這是事實。但很多人忽略了一個因素,過長又複雜的密碼,用戶要記得十分困難,尤其是要三個月轉一次密碼的,結果就是逼用戶要寫下密碼,這就變成風險。」許佳龍說。
網絡保安須顧及用戶需要
許佳龍指出,駭客的目標大多是出名的公眾人物,一般人被駭黑攻擊的機會其實不高,如果容許更改密碼時間長一點,風險反而會降低。
「在設計網上保安時,須顧及用戶的反應,不能閉門造車,只要用戶的行為不一致,漏洞馬上就會出現。」
事實上,目前騙案手法層出不窮,而且隨著時間不斷轉變,很多時會令人防不勝防。所以要改善保安系統的設計之餘,也需要提升用戶的防騙意識;否則,一切也是前功盡廢。
許佳龍稱,很多網上攻擊,其實來自身邊的親友或公司的員工,他們可能遺失了手機,資料被盜用後,騙徒再利用該戶口接近他們的親友;又或公司內有人不小心按下「毒link」,令整間公司的系統被駭(hack)。
「其實不見電話或亂按link的機率,是大過被駭客攻擊。只要一人中招就會累街坊,但你又不可以怪你的親友或員工。」
詐騙案中逾6成屬網騙
所以,防騙應該要從源頭做起,首先要了解騙徒的犯案手法,而受害人又為何會中招,方為上策。
根據警方數字,2024年詐騙案有44,480宗,較2023年上升11.7%,佔了整體罪案率更達到46.9%。其中網上騙案多達27,485宗,佔詐騙案數字61.8%。
據反詐騙協調中心統計數字反映,2024年宗數最多的是網上購物騙案,達11,559宗;其次則是電話騙案,為9,204宗。
但以損失金額計,則是以投資騙案損失最高,達37.14億元;電話騙案次之,損失29.11億元。
許佳龍表示,早期的騙案多數是釣魚電郵,騙徒會利用不同藉口,誘導受害人點擊連結至假網站,並留下資料。
「做個假網站然後大量發電郵,成本很低。但當大家意識到釣魚電郵危險後,上當的人減少了,不再賺錢,慢慢又再轉為詐騙電話。
現在更加個人化,會扮你的朋友WhatsApp你,只要你有少許反應,便有專人跟進,不斷與你搭訕,希望在你身上詐騙到金錢。」
事實上,近年的騙徒會假扮不同機構接觸受害人,警方網站亦羅列了幾類常見的網上騙案手法(見圖表)。
最令人防不勝防的一種,其實是冒充銀行、保險公司、超市、網上支付公司等常見的商業機構或政府機關。
例如訛稱早前買了一個保險服務,再不打電話去確認便會取消;又或是信用卡即將收取年費,如想豁免年費便要回覆訊息等。
「假冒公安等騙案,香港人不容易中招,通常是不熟悉香港的人才會上當;反而一些網上支付及信用卡等機構十分普及,很多人會有戶口或是其客戶,我自己亦收過,還打電話回覆。」
許佳龍表示,回覆只是出於擔心,想確認戶口是否有問題,較多是責任感的驅使。當時他也是基於此原因回電對方,但當對方表示如要取消服務,可以代為轉駁至其他平台代辦,他已察覺不妥,於是掛線。其他市民如未能及時察覺,就會墮入圈套。
因此,他認為市民收到這一類訊息時,要先看清楚,尤其是查看訊息的公司名稱及網站連結會否有問題,像WhatsApp的「W」以「VV」展示。
若想核實訊息內容真確性,最好是從第三方渠道查證,別點擊訊息上的連結。
「例如自己從Google搜尋該公司的網頁,藉此查閱訊息真偽;或直接致電機構的客服查詢,雖然這會花多了時間,亦會加重企業的工作負擔,但從安全角度,也需要這樣做。」
遺失手機最高危
比起網絡保安,許佳龍認為手機保安更為重要。
因為目前愈來愈多機構及服務供應商,都會將服務搬到手機上操作,手機反而是儲存最多私隱的設備。
一旦遺失手機,不幸落入不法之徒之手,便等於中門大開,不但可以盜走銀行戶口的錢,機主的親友也有機會成為詐騙目標。
因此許佳龍建議市民,手機必須設置遙控剷除資料的功能,一旦遺失手機,也可以清除手機內的個人資訊,以防被騙徒利用。
此外,不論手機還是電腦,均要做好鎖定功能,例如要設置有效的密碼,或是用指紋、面容識別等生物認識。
「密碼的好處是可以更改;指紋及面容識別就不能。惟面容識別更危險,因為你的照片太容易獲得了。」
事實上,不少人都愛將自己的日常生活照片放到社交平台,跟親朋好友分享。
現在不少人都會當YouTuber或網紅,不法之徒很容易獲得一個人的容貌及聲音檔案。在AI的幫助下,隨時可以生成其他照片或個人視頻,藉此勒索事主及其親友。
「我自己收過最離譜的詐騙,是一封長篇大論的電郵,指名道姓針對我;加上一張有我樣貌的相片,貼在裸體照片上,然後勒索我。我一眼就看出是假的。」
許佳龍指現在科技發達,有圖、有聲音及有影片,也未必有真相,因此奉勸市民,千萬不要隨便相信網上資訊。
就算訊息是由親友發送,也得再三求證,自己做資料搜集。
「世上沒有100%安全的防騙措施,如要追求100%,可能要將自己鎖在家裏,不用任何電子設備。既然不能100%安全,就要做好防騙。」許佳龍說。
碩士課程9月開課 企業管理層也報讀
科大今年開辦全新的信息及網絡安全管理碩士課程,除了教授技術性知識外,大部分內容著重犯罪心理、網絡保安政策的設計,甚至是審計調查等,適合的進修對象包括所有機構,特別是金融機構、企業人事部等。
「已有不少企業管理層表示有興趣報讀,因為坊間實在沒有類似的課程。」許佳龍說。
他又表示,網上保安絕不是純綷IT部門的職責,反而是協調不同部門的用戶,一起做好防騙這件事。但過程中卻缺少一道可以與IT溝通的「橋樑」。
「很多時IT人員不了解用戶習慣,用戶又不理解IT人員的困難,這個課程就是要訓練出這個中間橋樑。」
有關課程將於9月開課,招生數目介乎40至60人,可選擇全日制,也可以兼讀。
許佳龍防騙貼士
1. 千萬不要隨便相信網上資訊,有圖也未必有真相。
2. 核實訊息要透過第三方渠道,不要直接點擊訊息內的連結或回覆訊息內的電話。
3. 電話要設定遙距剷除資料功能。
4. 任何應用設備及程式都要加入鎖機方式,如密碼、生物認證、二步認證等等。
5. 勿隨便在社交平台發布個人資料。
6. 多留意網上騙案最新手法。
