每日杂志|中小企新兴网络安全威胁 网站原始码被修改致搜寻引擎降级
2022-09-22 07:43
市场上不少企业运用搜寻引擎最佳化(SEO),希望旗下网站或宣传页面,能在搜寻引擎的结果中最优先被列出,藉此提升曝光率,惟相关方式是「药」还是「毒」仍属未知之数。有机构日前发表报告,提及半数本港受访企业未有充分认识「负面SEO攻击」,企业网页原始码一旦被黑客修改,并连结至负面网站,随时被搜寻引擎「降级」。多名资讯科技专家向《星岛》指,中小企正面对新兴网络安全威胁,使用第三方供应商服务、供应链及物联网,均有被入侵风险,必须加强网络安全防衞。记者 林家希
「有印刷业在搜寻引擎上被标示为殡葬业。」香港互联网注册管理有限公司(HKIRC)行政总裁黄家伟早前接到客户查询,指其网站突然被某搜寻引擎指是殡葬公司,团队百思不解,最终发现客户网站的网页原始码被修改。他解释,搜寻引擎看的不单止网页展示的版面内容,也会检查网页原始码,香港已有少量个案,有人利用搜寻引擎的规则,破坏企业的搜寻引擎最佳化(SEO)部署。
插入非法赌博连结降排名
该机构日前发表年度研究结果,以问卷访问了本港逾八百家不同规模、来自各行各业的企业,调查他们对新兴网络风险的安全意识,显示与疫情前相比,本港整体企业的数码使用率急增六成三,其中培训和教育行业更录得八成五的增幅。黄家伟预料,企业面对的网络安全风险只会随之增加,「如黑客以往靠电脑病毒入侵,现在人人有防毒软件,自然会再找其他方式骗财。」
以上述的「负面SEO攻击」为例,黄家伟指,多数企业只知道若网站被安装恶意程式如木马程式和病毒入侵,会令搜寻排名降低,却不太清楚其他黑客的攻击手段,例如修改企业网站的原始码,插入非法赌博和色情网页的连结,由于连结不会显示在网站的页面上,只有检查原始码才能找出排名下降的成因,如企业没有找专家为网站作检查,恐难以知道真相。
盗Gmail帐号 暗网有价有市
据了解,相关的恶意攻击,更令黑市衍生新产业,有外国企业不惜付费给经营非法赌场或色情网站的地下集团,要求他们在网站的原始码上,加上连接到竞争对手网站的代码,或以被惩罚的域名指向竞争网站,以此令对手的网页被搜寻引擎「降级」。
外界误解,黑客攻击和勒索的对象应是富豪和大企业,惟根据网络安全研究专家Patricia Ruffio近日披露的「2022年暗网价格指数」报告中,显示被盗取的Gmail帐号,在黑市可卖至六十五美元(约五百一十港元),而被盗的facebook帐号和Instagram帐号,分别可卖四十五美元(约三百五十港元)及四十美元(约三百一十三港元)。环速集团业务拓展总监胡启骞直言,「理论上,黑客未必针对特定企业,而是以不同方法,取得他们认为『有价值』的资料。」
「取易不取难,是常人也懂的道理。」香港资讯科技商会委员、Check Point香港及澳门总经理周秀云提到中小企面对的网络安全威胁,实际上与大公司相同,但后者有充足的团队和资源维护网络安全,而前者则相对较短缺,过去不乏外国黑客评价中小企最容易入侵,更戏称中小企为「提款机」。
不少中小企因而使用第三方供应商的服务,但与对方签订「不披露协议书」,亦不代表公司资料能获百分百受保障,胡启骞不讳言,供应商有特别存取数据或浏览资料的权限,若出问题随时牵连甚广。他举例,不少企业外判招聘工作给人力资源公司,给予外判公司操控企业的人力资源系统的权限,即使企业做足网络安全防范,但仍可能因外判公司被攻破,连带其可控制的系统也被一举攻入,影响企业管理员工及发薪等流程。
使用供应商服务潜藏危机
周秀云提到,去年底「Log4J」事故后,本港不少企业开始关注供应链层面的网络安全。Log4J是多项互联网服务和应用程式采用的Java日志框架,该次漏洞影响全球近半公司,黑客利用易受攻击的应用程式,在受感染的伺服器上遥距执行任意代码;本港营销公司Fimmick去年遭勒索软件攻击也是另一例子,多家企业受到牵连,部分客户资料遭到外泄。
此外,物联网(IoT)的广泛应用也可引发危机,周分享,据报道指,美国有七成医院曾因应用不同的IoT设备,造成资金遗失。她相信,将是香港未来面对的威胁。
企业需加强防衞定期扫描
要预防各项新兴威胁,思科香港及澳门安全销售总监丁凯盈认为,企业比以往更需建立强大的安全基础,例如采用多重身分认证、验证访问设备,以及集中管理网络等,而情报预测也相当重要,应定期培训和教育员工,增加其安全意识。她又提到,部分网络供应商亦有与网络安全公司合作,推出商业宽频组合方案,由网域名称系统开始堵截恶意攻击,相关方式不需企业额外投资防衞配套,中小企也有能力负担。
黄家伟也指,网上有不少免费的网络安全员工培训平台,而政府资讯科技总监办公室也有推出网络安全资讯共享夥伴计画(Cybersec Infohub),与各行各业共享网络安全资讯,可助中小企解决部分问题。而在防范负面SEO方面,他谈到可委托网络安全机构定期扫描网站,并监察有否被反向连结,也应使用保安接层加密技术(Secure Socket Layer) ,加强保护数据。
全文刊《星岛》「每日杂志」
《星岛头条》APP经已推出最新版本,请立即更新,浏览更精彩内容:https://bit.ly/3yLrgYZ
最新回应