防網絡詐騙 企業自保有法

【明報專訊】中港警方早前聯手偵破內地黑客利用「分散式阻斷服務攻擊」（DDoS）的方式，癱瘓本地多家金融及證券投資公司的網站，以向它們進行勒索的案件，成為兩地傳媒都報道的新聞。其實，不同程度的Cyber Crime（網上商業罪案或騙案）一直存在。今期「企業管理」版就請來專家提出的自保之道。


「戶口更改騙案」 近年猖獗

說到Cyber Crime，近一年多，最猖獗的，相信就是「戶口更改騙案」（見另文的數據）。所謂「戶口更改騙案」，最常見的形式是，騙徒冒充某家企業的供應商，向該企業的職員發出電子郵件，表示已轉用了一個新的銀行戶口，請該企業以後將貨款存入或匯入該戶口。


據悉，最近大半年，警方的商業罪案調查科就數度派出高級督察，聯同香港電腦保安事故協調中心的職員，在貿發局和其他場合的研討會，提醒本地企業小心各種Cyber Crime。商業罪案調查科的高級督察就每次都會提及「戶口更改騙案」。其中，在一次研討會中，現場就有3名參加者表示，自己或合作伙伴都曾經遇上「戶口更改騙案」！


電郵地址易偽冒

香港電腦保安事故協調中心經理古煒德表示，「戶口更改騙案」之所以猖獗和普遍，是因為要偽冒電郵地址實在很容易。


最簡單的，有些能夠寄出大量電子郵件的軟件（原意是用於Email Marketing，部分還是免費的），其「寄件人」（sender）一欄的電郵地址，就是任由用戶輸入的。其次，對於一個「專業」的黑客來說，即使是自行設計一個這樣的程式，也很容易。


若企業職員的電腦事先已中了一些「木馬程式」（Troj an），當他與供應商透過電郵商討交易時，便會被黑客知悉。黑客便會待雙方談好交易後不久，向企業的職員發出電郵，表示已轉用了一個新的銀行戶口，請將貨款存入或匯入該戶口。若企業的職員不虞有詐，即會被騙去貨款。


甚至未必要電腦中毒。若企業某些現任或前任職員知悉供應商催收貨款的電郵（或發票）的格式，自己或者串通外人，也可以冒充該供應商，向企業發出「已轉換銀行戶口」的電郵。


賣家戶口有變 宜以不同方式確認

警方商業罪案調查科建議，買家若收到賣家更改銀行戶口（甚或電郵地址）的通知，不應該就此付款。必須以其他方法確認，例如電話、傳真等。待確認屬實之後，才可付款。


古煒德同意，這是一個方法。但他認為，最穩陣和治標的做法，還是提高電郵的安全程度。除了電腦本身要安裝防毒軟件，並保持經常更新之外，買家和賣家最好還要約定，使用同一套採用「公匙基建」（Public Key Infrastructure, PKI）技術的電郵加密軟件。


電郵加密 最能治標

這種軟件的好處是，可以將電子郵件的內容加密後才傳送，亦可以讓寄件人加上「數碼簽署」，即是讓收件人確認寄件人的身分。


這類電郵加密軟件中，PGP（Pretty Good Privacy）可說是數一數二流行者。古煒德本身亦是使用PGP。（但因為被Symantec收購，PGP中文版從10.0.2以後，將不再單獨放出PGP版本的獨立安裝包，將會以安全插件等形式集成於Symantec的安全產品中。）


明報記者 薛偉傑