無論何時何地被要求登入網上服務,以核實身份或經連結下載文件之前,大家都應先檢查清楚登入的網站是否真確,騙徒千方百計騙取用戶的電郵、政府服務、銀行服務或社交網絡的密碼,要避免成為受害者就要留意以下資訊。
安全的輸入密碼狀況
1. 從官方網站登入電郵、社交網絡或網上服務
這是最簡單的狀況,只需要確定正身處真實的合法網站,在URL上沒有錯誤,如果是透過電郵連結或搜索結果進入網上服務,在輸入密碼前小心檢查瀏覽器上的地址列,確保所有服務名稱和網站地址都正確。這額外的一步能對付複製合法網站的釣魚網站,地址可能與正版相距不遠,即使只是一兩個字(例如i變成l),或使用不同的網域帶。
2. 使用輔助服務登入網站
有種方法能不製建額外密碼也能進行登入,通常在檔案儲存或協作工具之上,這種輔助服務都是大型的電郵供應商、社交網絡或政府服務網站,登入鍵可能是「Continue with Google」、「Continue with Facebook」或「Continue with Apple」等,在點擊按鍵後,屬於輔助服務的視窗便會出現,就像是第三方服務核實用戶的身份,再向網站確定用戶登入,這種情況下檢查所有視窗十分重要,確保彈出要求輸入密碼的視窗是真的屬於原定的輔助服務,而主視窗則屬於你嘗試登入的合法網站,很多個案彈出視窗也會顯示你即將登入的網站,這種服務機制令用戶登入該網站而無需讓對方看到你的密碼,密碼核實步驟由輔助服務負責責,IT專家稱這種登入方法為single sign-on (SSO)。
盜竊密碼的情況
如果接收到附有登入連結的電郵或訊息,點擊後去到一個看似合法的電郵、社交網絡、檔案分享或電子簽署服務,網站要求登入你的帳號去核實身份,如果直接輸入你電郵、政府服務、銀行或社交網絡所使用的電郵和密碼,這些資料便會落入騙徒手上,個案中沒有彈出新視窗,即使彈出也是屬於其他第三方網站,謹記第三方網站無法核實你的「密碼」,因為密碼永遠不會在網站之間共享。
防範密碼盜竊
- 小心檢查要求輸入密碼的網站地址
- 只在服務的官方網站輸入密碼
- 有時會彈出另一個視窗輸入密碼,確保該視窗是正常的瀏覽器視窗,同樣可以透過地址列查看網址。
- 騙徒可能會創建難以分辨的假網站,為免掉入陷阱,使用能對抗網絡釣魚的可靠防護方案。
- 密碼管理工具也會核實網址,在不尋常的網站不會輸入登入憑證。
資料來源:Kaspersky Blog
