政府部門、銀行等機密資料在近期頻頻揭發外洩,反映港人網絡保安觀念薄弱,有國際調查報告指出,香港域名網站 「.hk」在2007年是全球最高危,容易藏有病毒、間諜程式等,究竟最新情況如何?
相對於過去時常爆發大規模的蠕蟲癱瘓網路事件 (Slammer 、 Ninda 、 Netsky…) ,這兩三年來網路世界似乎平靜很多,主要的原因在於駭客已經改變了攻擊的目的,不再想出名炫耀、也不只是要證實自己的技術有多好,而是要實質的獲取利益。駭客運用的手法繁多,其中,網路釣魚 (Phishing) 已成為身份盜竊「產業」中成長最快速的技術之一。 2004 年 1 月,反網釣工作小組 (Anti-Phishing Working Group) 辨識出 174 個網釣網站,同年 12 月居然暴增超過 1,000 個。 2006 年,網路詐欺造成的消費者財務損失估計在 5 億 ( 根據美國聯邦交易委員會的統計 ) 到 20 億 ( 根據反網釣工作小組統計 ) 美元之間。國際知名資安組織 SANS 甚至發佈告警訊息: 2007 年將成為網路釣魚災害嚴重氾濫的一年。
電腦防毒軟件公司McAfee Inc.發表的最新2007年研究報告,發現「.hk」域名的香港網站中,多達百分之十九點二被列為「危險」或「有潛在危險」。報告指,現時全球各地有數以千計提供域名登記和註冊服務的公司,由於競爭激烈,很多公司都降低登記域名的條件和限制,例如很多時都沒有對申請域名的人士和機構核實背景和身分,又以較低廉收費搶客,而且,愈來愈多網上犯罪分子、濫發垃圾電郵人士、專門編寫惡毒程式的不法之徒,成功申請域名後在網上設立網站犯案。
為打擊本地與國際虛假網站及濫發電郵問題,去年HKDNR在技術及程序上進行更嚴謹的審核,務求為互聯網用戶締造更安全的使用環境。同時,他們更積極與 本地相關機構緊密合作,進一步打擊「.hk」濫發電郵及虛假網站包括香港警務處(Hong Kong Police)即時通知 HKDNR已證實的「.hk」虛假網站,而香港電腦保安事故協調中心(HKCERT)為確認虛假網站制定了相關準則,並提供業界動態及資訊,電訊管理局(OFTA)每日為 HKDNR 提供濫發電郵的「.hk」域名名單,並為濫發電郵的審核標準提出建議,密切監控虛假網站及濫發電郵情況,並有效處理該等問題。他們亦與國際組織保持緊密聯繫,定期交流成功個案及處理案例的經驗。
在收費方面,他們已採用「Visa 認證」系統,只接受設有安全密碼的信用卡用作支付域名註冊費用。採取上述措施後,HKDNR 在 2007年中止了超過10,000個「.hk」域名,其中約88%涉及濫發電郵,12%與虛假網站有關。此舉動中止「.hk」濫發電郵或虛假網站的效率提升了50%。
筆者作為香港域名註冊有限公司 (HKDNR) 董事之一,當然有責任為公眾的疑慮作出一些更正。作為域名註冊公司,積極評估系統功能及域名註冊政策是不可少,例如在處理註冊通用域名『.hk』的申請時,加強進行文件審核。其實,簡化申請域名手續是全球大勢所趨的做法,最重要是定時改善處理問題網站的程序,繼續加強與本地及國際組織緊密聯繫,定期交流成功個案及處理案例的經驗是非常重要。
在公眾方面,必須做好網絡及網民教育,增加用者防範意識。
遏制虛假或濫發電郵網站是一場持久戰,與網上罪犯的對抗永無休止。此外,筆者亦促請社會各界加強關注此問題,若在瀏覽網站時發現可疑之處,可與有關管理部門查詢或舉報。深信得到公眾的支持,香港的互聯網社區定會更加安全。
(刋登於資本一週) - 2008年6月14日
沒有留言:
發佈留言