每日雜誌|中小企新興網絡安全威脅 網站原始碼被修改致搜尋引擎降級
2022-09-22 07:43
市場上不少企業運用搜尋引擎最佳化(SEO),希望旗下網站或宣傳頁面,能在搜尋引擎的結果中最優先被列出,藉此提升曝光率,惟相關方式是「藥」還是「毒」仍屬未知之數。有機構日前發表報告,提及半數本港受訪企業未有充分認識「負面SEO攻擊」,企業網頁原始碼一旦被黑客修改,並連結至負面網站,隨時被搜尋引擎「降級」。多名資訊科技專家向《星島》指,中小企正面對新興網絡安全威脅,使用第三方供應商服務、供應鏈及物聯網,均有被入侵風險,必須加強網絡安全防衞。記者 林家希
「有印刷業在搜尋引擎上被標示為殯葬業。」香港互聯網註冊管理有限公司(HKIRC)行政總裁黃家偉早前接到客戶查詢,指其網站突然被某搜尋引擎指是殯葬公司,團隊百思不解,最終發現客戶網站的網頁原始碼被修改。他解釋,搜尋引擎看的不單止網頁展示的版面內容,也會檢查網頁原始碼,香港已有少量個案,有人利用搜尋引擎的規則,破壞企業的搜尋引擎最佳化(SEO)部署。
插入非法賭博連結降排名
該機構日前發表年度研究結果,以問卷訪問了本港逾八百家不同規模、來自各行各業的企業,調查他們對新興網絡風險的安全意識,顯示與疫情前相比,本港整體企業的數碼使用率急增六成三,其中培訓和教育行業更錄得八成五的增幅。黃家偉預料,企業面對的網絡安全風險只會隨之增加,「如黑客以往靠電腦病毒入侵,現在人人有防毒軟件,自然會再找其他方式騙財。」
以上述的「負面SEO攻擊」為例,黃家偉指,多數企業只知道若網站被安裝惡意程式如木馬程式和病毒入侵,會令搜尋排名降低,卻不太清楚其他黑客的攻擊手段,例如修改企業網站的原始碼,插入非法賭博和色情網頁的連結,由於連結不會顯示在網站的頁面上,只有檢查原始碼才能找出排名下降的成因,如企業沒有找專家為網站作檢查,恐難以知道真相。
盜Gmail帳號 暗網有價有市
據了解,相關的惡意攻擊,更令黑市衍生新產業,有外國企業不惜付費給經營非法賭場或色情網站的地下集團,要求他們在網站的原始碼上,加上連接到競爭對手網站的代碼,或以被懲罰的域名指向競爭網站,以此令對手的網頁被搜尋引擎「降級」。
外界誤解,黑客攻擊和勒索的對象應是富豪和大企業,惟根據網絡安全研究專家Patricia Ruffio近日披露的「2022年暗網價格指數」報告中,顯示被盜取的Gmail帳號,在黑市可賣至六十五美元(約五百一十港元),而被盜的facebook帳號和Instagram帳號,分別可賣四十五美元(約三百五十港元)及四十美元(約三百一十三港元)。環速集團業務拓展總監胡啟騫直言,「理論上,黑客未必針對特定企業,而是以不同方法,取得他們認為『有價值』的資料。」
「取易不取難,是常人也懂的道理。」香港資訊科技商會委員、Check Point香港及澳門總經理周秀雲提到中小企面對的網絡安全威脅,實際上與大公司相同,但後者有充足的團隊和資源維護網絡安全,而前者則相對較短缺,過去不乏外國黑客評價中小企最容易入侵,更戲稱中小企為「提款機」。
不少中小企因而使用第三方供應商的服務,但與對方簽訂「不披露協議書」,亦不代表公司資料能獲百分百受保障,胡啟騫不諱言,供應商有特別存取數據或瀏覽資料的權限,若出問題隨時牽連甚廣。他舉例,不少企業外判招聘工作給人力資源公司,給予外判公司操控企業的人力資源系統的權限,即使企業做足網絡安全防範,但仍可能因外判公司被攻破,連帶其可控制的系統也被一舉攻入,影響企業管理員工及發薪等流程。
使用供應商服務潛藏危機
周秀雲提到,去年底「Log4J」事故後,本港不少企業開始關注供應鏈層面的網絡安全。Log4J是多項互聯網服務和應用程式採用的Java日誌框架,該次漏洞影響全球近半公司,黑客利用易受攻擊的應用程式,在受感染的伺服器上遙距執行任意代碼;本港營銷公司Fimmick去年遭勒索軟件攻擊也是另一例子,多家企業受到牽連,部分客戶資料遭到外泄。
此外,物聯網(IoT)的廣泛應用也可引發危機,周分享,據報道指,美國有七成醫院曾因應用不同的IoT設備,造成資金遺失。她相信,將是香港未來面對的威脅。
企業需加強防衞定期掃描
要預防各項新興威脅,思科香港及澳門安全銷售總監丁凱盈認為,企業比以往更需建立強大的安全基礎,例如採用多重身分認證、驗證訪問設備,以及集中管理網絡等,而情報預測也相當重要,應定期培訓和教育員工,增加其安全意識。她又提到,部分網絡供應商亦有與網絡安全公司合作,推出商業寬頻組合方案,由網域名稱系統開始堵截惡意攻擊,相關方式不需企業額外投資防衞配套,中小企也有能力負擔。
黃家偉也指,網上有不少免費的網絡安全員工培訓平台,而政府資訊科技總監辦公室也有推出網絡安全資訊共享夥伴計畫(Cybersec Infohub),與各行各業共享網絡安全資訊,可助中小企解決部分問題。而在防範負面SEO方面,他談到可委託網絡安全機構定期掃描網站,並監察有否被反向連結,也應使用保安接層加密技術(Secure Socket Layer) ,加強保護數據。
全文刊《星島》「每日雜誌」
《星島頭條》APP經已推出最新版本,請立即更新,瀏覽更精彩內容:https://bit.ly/3yLrgYZ
最新回應