仿冒诈骗

仿冒诈骗仿冒诈骗是一种社交工程攻击，仿冒诈骗者伪装成合法的实体以骗取个人和敏感资料，或在用户电脑装置内安装恶意软件。仿冒诈骗通常使用虚假网站、电子邮件、即时通讯或短讯服务等形式进行攻击，这些讯息中通常包含被恶意软件感染的附件或恶意网站的超连结，目的是窃取用户的敏感资料（例如登入凭证、银行帐户或信用卡资料等）和／或入侵用户的电脑装置。仿冒诈骗者还可以在社交媒体平台上冒充使用者并联络其通讯录上的联络人（例如朋友、合法机构）以进行仿冒诈骗攻击，从而套取用户的敏感资料和登入凭证。

根据一些网络安全威胁趋势报告，仿冒诈骗攻击仍然是近年最常见的网络攻击方式。成功的仿冒诈骗攻击可能会对受害者造成严重后果。对于个人而言，攻击可能导致帐户被接管、未经授权的财务交易、信用卡诈骗、电脑装置被恶意软件或勒索软件感染等。对于机构而言，攻击使网络犯罪分子能够进行各种恶意活动，例如入侵特权户口、窃取敏感资料或干扰业务正常运作等。为避免成为仿冒诈骗攻击的对象，了解如何识别和减低来自仿冒诈骗的威胁是十分重要的，方法包括通过提高个人的安全意识，建立适当的保安政策以及采用反仿冒诈骗解决方案等。

常见的仿冒诈骗类型

欺诈性仿冒诈骗是最常见的仿冒诈骗攻击。仿冒诈骗者製作与来自合法公司或可靠来源的邮件几乎一样的讯息，并且发送群发邮件诱骗用户提供敏感资料，例如可识别个人身分的资料、银行和信用卡资料或登入凭证等。

鱼叉式仿冒诈骗是较一般仿冒诈骗複杂的攻击，专门针对特定的用户或公司。仿冒诈骗者利用从不同来源（例如来自社交媒体的公开资料）所收集的个人资料製作并发送特定的电子邮件以假冒受到信任的群组，藉此要求特定的个人或机构进行非法行为，例如进行未经授权的财务交易、泄露敏感的个人或商业资料等。

水坑式仿冒诈骗试图通过注入恶意程式码来破坏某些特定用户群组浏览的网站。一旦用户浏览被入侵的网站、被骗下载并执行受感染的档案文件，在用户不知情的情况下，恶意软件会被安装到用户的电脑上并进行恶意行为。

语音网络式仿冒诈骗涉及仿冒诈骗者的电话诈骗，以欺骗个人或机构进行某些行为让仿冒诈骗者得益。电话诈骗可以通过多种方式进行，例如伪造来电显示号码令用户感到混淆，或使用互动式语音系统让仿冒诈骗者与用户直接对话，诱骗用户提供个人资料等。

短讯式仿冒诈骗涉及仿冒诈骗者发送非应邀的手机短讯，模仿可信任的第叁方并诱使用户点击恶意超连结，令用户连接到欺诈网站并诱骗用户提供敏感资料，或通过回覆短讯来提供个人资料等。

网域欺骗式仿冒诈骗将用户从合法网站重新连接到欺诈网站，目的是窃取用户的登录凭证或敏感资料。仿冒诈骗者可以通过以下方式进行攻击：

基于恶意软件的网域欺骗式仿冒诈骗 - 在用户的电脑上安装恶意软件，以修改电脑内部设置的网域名称解析文件，并将用户连接到恶意网站。

域名系统伺服器投毒 - 利用域名系统伺服器中的漏洞来更改网域名称记录，并将用户连接到恶意网站。

无线网络式仿冒诈骗试图通过诱使无线网络用户将其流动装置连接到恶意无线网络接入点来窃取用户的敏感资料：

恶意无线网络接驳点 - 仿冒诈骗者建立恶意的无线网络接驳点以诱骗用户在无线网络接入点中输入登录凭证，或进行。

Evil Twin - 仿冒诈骗者通过伪造相同的无线网络、基本服务设定识别码、强制登录页面等以伪冒合法无线网络热点，从而诱骗用户披露登录凭证或敏感资料。

二维码式仿冒诈骗利用用户的默许信任，不经意扫瞄隐藏恶意网站超连结的二维码，以在流动装置上进行恶意操作。例如仿冒诈骗者可以在用户扫瞄二维码后，将用户连接到恶意网站以窃取用户的敏感资料，将装置连接到已遭入侵的无线网络或进行自动付款等。

弹出式视窗式仿冒诈骗利用含有欺诈讯息的“弹出式”视窗来进行仿冒诈骗攻击。伪造的“弹出式”视窗旨在诱骗用户点击视窗上的内容，并将用户连接到恶意网站以窃取敏感资料。

10.

社交媒体式仿冒诈骗利用用户对社交媒体（如Facebook，Twitter等）的信任进行在线欺诈，通过假冒他人、网上情缘骗案、虚假活动邀请等手段诱骗用户提供登录凭证或敏感资料等。

常见的仿冒诈骗特征

互联网用户使用电脑时，应时刻保持警惕。以下是一些仿冒诈骗讯息和可疑网站常见的特征：

仿冒诈骗讯息的特征

它是经由可疑的电子邮件地址发送（拼写错误或与合法电子邮件地址相似，例如@g0v.hk）。

它包含可疑或不寻常的附件（例如，档案副档名为“.exe”、“.cmd”、“.bat”的文件），而可疑附件被嵌入恶意程式码，可予执行下载恶意软件。

它可能包含一般的问候语，例如“你好”或“尊敬的先生、女士”等。

它通常有语法上或拼写上的错误。

它可能会在线上索取个人或敏感资料（例如身份证件号码或用户的帐单邮寄地址）。

它可能包含需要立即采取行动的重要通知，传达威吓讯息或提供非常吸引的折扣优惠（例如免费的海外旅行套票）。

它可能包含缩短的网站超连结，以避过根据黑名单操作的滥发邮件过滤器。

它可能会複製合法网站上的内容，例如文字、标誌、图像、风格等，伪装成真实讯息。

仿冒诈骗网站的特征

它可能使用来自真实网站的内容，例如图像、文字、标誌，甚至複製整个合法网站的外观来诱使访客输入他们的敏感资料，例如个人帐户资料或财务资料等。

它可能包含指向合法网站内容的真实网站超连结，例如联系我们、网站地图或免责声明以欺骗访客。

它可能使用与合法网站近似的网站域名地址。

它可能包含，访客如通过测试，即被连接到恶意网站。

它可能包含文字输入栏位，并要求访客输入敏感资料，例如登录凭证。

它可能以弹出式视窗的形式刻意在前方展现，同时部分合法网站的网页则在后方显示，目的是令访客误以为自己正在浏览合法网站。

它可能通过小程式或超文本标示语言指令，伪冒合法网站的网址，建立假网址栏以取代原来网址。

可导致受到仿冒诈骗的用户操作

如果用户在收到仿冒诈骗讯息时执行以下操作，可能会成为仿冒诈骗攻击的受害者：

点击欺诈连结。

开啓／执行受感染的附件。

填写并提交恶意仿冒诈骗网站上要求提供敏感资料（例如信用卡资料、可识别个人身分的资料等）的表格。

通过电子邮件、电话或社交媒体等向仿冒诈骗者披露敏感资料。

执行操作，例如转移资金。

连接至欺诈Wi-Fi接入点并执行涉及敏感资讯的交易，例如进行财务交易、发送未经加密的个人资料等。

仿冒诈骗的潜在影响

财务损失
仿冒诈骗者可能利用从受害者获得的敏感资料进行各种非法活动，例如将受害者的金钱转移至他们的户口。损失贵重的知识产权（包括商标、专利、商业秘密等）亦可能会造成重大的财务损失。

品牌声誉受损
仿冒诈骗者可能进一步利用从用户获得的资讯来勒索、恐吓用户的联络人，甚或进行非法活动（例如黑客入侵用户机构的系统以窃取机密资料），导致用户受到指责，甚至令用户须面对法律和刑责问题。对于受到攻击的机构，其品牌声誉可能会受到损害，而其客户由于对机构在保护其资料方面失去信任，可能会将业务转移至他处。

利用被盗凭证而进行随后的针对性攻击
成功的仿冒诈骗攻击可能导致身分被盗用。仿冒诈骗者可能假冒一个合法实体，通过仿冒诈骗诱骗用户提供敏感资料（如可识别个人身分的资料或财务资料），并利用以欺诈手段获得的资讯来假冒用户进行非法活动。

干扰业务
仿冒诈骗者可以通过仿冒诈骗干扰业务运作。例如，机构的电脑系统如因受到仿冒诈骗攻击而感染了恶意软件，其日常运作可能受到严重干扰。这类干扰甚至可以对特定行业（如医疗行业）造成灾难，例如医疗仪器受恶意软件感染而无法运作，因而不能为病人提供急需的治理。

防范仿冒诈骗的良好作业模式

一般建议

防范仿冒诈骗攻击

对个人的建议

对可疑讯息保持警惕

仿冒诈骗讯息可以变化多端，可能不容易发觉。用户应留意以下建议，对可疑讯息经常保持警惕：

仔细检查讯息内容。如果讯息提供极其吸引的优惠、令用户觉得有迫切需要马上采取特定行动、包含不合逻辑的内容或语法不正确等，应保持警惕。

如果发件人要求提供敏感资料，请核实其身分。

避免开啓任何可疑或非预期的附件。一些档案副档名为「.exe」、「.cmd」、「.bat」的可执行附件可能是仿冒诈骗者建立的恶意软件。用户不应开啓任何来源不明或有疑问的附件。

除非已核实第叁方的身分，否则切勿向第叁方发送个人和／或敏感资料。

仔细验证划一资源定位址后才点撃。如果划一资源定位址看来有可疑，在点击前使用抗恶意程式码网站扫描器检查划一资源定位址。

如一个缩短的划一资源定位址是发送自可疑来源，使用缩短的划一资源定位址检查器确定有关缩短的划一资源定位址的完整版本。

避免回应任何可疑的付款要求。在实际付款前彻底核实有关付款要求。

确保二维码来源可靠。慎防任何海报／招牌上的二维码可能被恶意的二维码贴纸覆盖。

避免线上分享过多个人资料
用户不应在其社交媒体或其他公众渠道过度分享个人和敏感资料，否则可能会导致身分被盗用，黑客会利用有关个人资料假冒用户进行欺诈活动。

避免使用公共Wi-Fi网络
仿冒诈骗者可以通过公共网络发动无线网络式仿冒诈骗。用户如果没有连接至不知名的公共网络，便可防范无线网络式仿冒诈骗。他们可以选择使用其流动电话的流动共享网络和热点功能而非使用不安全的公共Wi-Fi，以建立私人和安全的数据网络连线。

自行输入网址
仿冒诈骗者可以掩盖看似真实的划一资源定位址的真正目的地，因此用户可自行在网页浏览器输入划一资源定位址，而非点击通过电子邮件发送的连结，以避免成为仿冒诈骗攻击的受害者。

对机构的建议

加强用户意识培训
近年，仿冒诈骗事故造成的风险和影响正日益严峻，因此增强用户对仿冒诈骗的意识十分重要。公司应定期为员工进行模拟仿冒诈骗活动等培训，以加强他们对网络安全的警惕，并减低他们成为仿冒诈骗攻击受害者的机会。

采用技术解决方案
公司可考虑采用以下技术解决方案防御仿冒诈骗攻击：

- 当有人试图登入电脑系统时，多重认证机制会要求两重或以上的认证因素。多重认证机制可以防止未经授权的人（可能是仿冒诈骗者），当一重认证因素受到破坏时得以接达用户的系统。

以划一资源定位址为本的过滤器 – 以划一资源定位址为本的过滤器通过将网络流量与威胁情报来源（例如资料库的过滤政策）进行比较和限制接达，以防止员工接达恶意网站。

- 防火墙可以过滤互联网流量、侦测和封锁尝试通过未经授权的通讯渠道的数据外泄。

抗恶意程式码软件和抗滥发电邮软件 – 有助封锁恶意软件的安装和执行、侦测和删除受感染的档案等，以减低用户点击了恶意的连结或档案时的风险。

反仿冒诈骗过滤器 - 通过将电子邮件中出现的统一资源识别符与已知用于仿冒诈骗攻击的统一资源识别符资料库比较，以侦测和封锁仿冒诈骗电子邮件。

网站证书 - 采用由可信任的发出的网站证书，以向用户保证机构网站的有效性。一般的证书包括域名认证、机构认证、个人认证和延伸认证。机构可以根据其业务需要选择采用相关类型的证书。

电子邮件保安措施 - 采取电子邮件认证措施，例如域名金钥识别邮件(DKIM)、发件人策略框架(SPF)、网域型邮件验证、报告与一致性(DMARC)等，以保护机构的电子邮件领域不会被利用作电子邮件仿冒和仿冒诈骗等网络罪行。机构亦可以采取额外电子邮件保安措施，以防御最新的电子邮件仿冒诈骗攻击。（参考中小企防范诈骗和中小企处理滥发电邮的提示）

反仿冒诈骗政策
机构应针对电子邮件加密、社交媒体和网络接达、接达权限设定等制定全面的反仿冒诈骗政策，以防范机构的电脑系统可能受到仿冒诈骗攻击。这些政策应详尽地涵盖机构的法律层面、管理层面、技术层面和程序需求，以建立适当的反仿冒诈骗做法，使其可以防御层出不穷的仿冒诈骗攻击威胁带来的挑战。

应对仿冒诈骗攻击

立即删除仿冒诈骗讯息，以防止用户再次接达恶意内容。

如果怀疑用户的帐户遭到入侵，应重新设定用户的登入凭证（例如登入密码）。

中断受感染装置的网络连线，并对相关装置进行完整扫描，以核实是否已下载恶意软件。

立即向有关方面（例如资讯科技管理员）报告以进行调查和清理。如事件涉及犯罪活动，应向执法机构如香港警务处举报。如事件涉及个人资料外泄，应向监管机构如个人资料私隐专员公署通报。如有需要，向香港电脑保安事故协调中心寻求有关事故应变和运作复原的意见。

对任何公众或报章的查询作出适切回应。

向有关方面（例如机构的受影响用户、客户等）发出警报，告知有关仿冒诈骗攻击的详情，并向相关方面建议适当的行动（例如立即更改密码、将系统更新至最新版本等）。

调查攻击的根本原因，看看是否由于人为错误或电脑系统存在安全漏洞等，并采取缓解措施应对攻击。

进行审计以确保建议的缓解仿冒诈骗风险措施得以适当推行。