每日杂志｜中小企新兴网络安全威胁 网站原始码被修改致搜寻引擎降级

市场上不少企业运用搜寻引擎最佳化（SEO），希望旗下网站或宣传页面，能在搜寻引擎的结果中最优先被列出，藉此提升曝光率，惟相关方式是「药」还是「毒」仍属未知之数。有机构日前发表报告，提及半数本港受访企业未有充分认识「负面SEO攻击」，企业网页原始码一旦被黑客修改，并连结至负面网站，随时被搜寻引擎「降级」。多名资讯科技专家向《星岛》指，中小企正面对新兴网络安全威胁，使用第三方供应商服务、供应链及物联网，均有被入侵风险，必须加强网络安全防衞。记者 林家希

「有印刷业在搜寻引擎上被标示为殡葬业。」香港互联网注册管理有限公司（HKIRC）行政总裁黄家伟早前接到客户查询，指其网站突然被某搜寻引擎指是殡葬公司，团队百思不解，最终发现客户网站的网页原始码被修改。他解释，搜寻引擎看的不单止网页展示的版面内容，也会检查网页原始码，香港已有少量个案，有人利用搜寻引擎的规则，破坏企业的搜寻引擎最佳化（SEO）部署。

插入非法赌博连结降排名

该机构日前发表年度研究结果，以问卷访问了本港逾八百家不同规模、来自各行各业的企业，调查他们对新兴网络风险的安全意识，显示与疫情前相比，本港整体企业的数码使用率急增六成三，其中培训和教育行业更录得八成五的增幅。黄家伟预料，企业面对的网络安全风险只会随之增加，「如黑客以往靠电脑病毒入侵，现在人人有防毒软件，自然会再找其他方式骗财。」

以上述的「负面SEO攻击」为例，黄家伟指，多数企业只知道若网站被安装恶意程式如木马程式和病毒入侵，会令搜寻排名降低，却不太清楚其他黑客的攻击手段，例如修改企业网站的原始码，插入非法赌博和色情网页的连结，由于连结不会显示在网站的页面上，只有检查原始码才能找出排名下降的成因，如企业没有找专家为网站作检查，恐难以知道真相。

盗Gmail帐号 暗网有价有市

据了解，相关的恶意攻击，更令黑市衍生新产业，有外国企业不惜付费给经营非法赌场或色情网站的地下集团，要求他们在网站的原始码上，加上连接到竞争对手网站的代码，或以被惩罚的域名指向竞争网站，以此令对手的网页被搜寻引擎「降级」。

外界误解，黑客攻击和勒索的对象应是富豪和大企业，惟根据网络安全研究专家Patricia Ruffio近日披露的「2022年暗网价格指数」报告中，显示被盗取的Gmail帐号，在黑市可卖至六十五美元（约五百一十港元），而被盗的facebook帐号和Instagram帐号，分别可卖四十五美元（约三百五十港元）及四十美元（约三百一十三港元）。环速集团业务拓展总监胡启骞直言，「理论上，黑客未必针对特定企业，而是以不同方法，取得他们认为『有价值』的资料。」

「取易不取难，是常人也懂的道理。」香港资讯科技商会委员、Check Point香港及澳门总经理周秀云提到中小企面对的网络安全威胁，实际上与大公司相同，但后者有充足的团队和资源维护网络安全，而前者则相对较短缺，过去不乏外国黑客评价中小企最容易入侵，更戏称中小企为「提款机」。

不少中小企因而使用第三方供应商的服务，但与对方签订「不披露协议书」，亦不代表公司资料能获百分百受保障，胡启骞不讳言，供应商有特别存取数据或浏览资料的权限，若出问题随时牵连甚广。他举例，不少企业外判招聘工作给人力资源公司，给予外判公司操控企业的人力资源系统的权限，即使企业做足网络安全防范，但仍可能因外判公司被攻破，连带其可控制的系统也被一举攻入，影响企业管理员工及发薪等流程。

使用供应商服务潜藏危机

周秀云提到，去年底「Log4J」事故后，本港不少企业开始关注供应链层面的网络安全。Log4J是多项互联网服务和应用程式采用的Java日志框架，该次漏洞影响全球近半公司，黑客利用易受攻击的应用程式，在受感染的伺服器上遥距执行任意代码；本港营销公司Fimmick去年遭勒索软件攻击也是另一例子，多家企业受到牵连，部分客户资料遭到外泄。

此外，物联网（IoT）的广泛应用也可引发危机，周分享，据报道指，美国有七成医院曾因应用不同的IoT设备，造成资金遗失。她相信，将是香港未来面对的威胁。

企业需加强防衞定期扫描

要预防各项新兴威胁，思科香港及澳门安全销售总监丁凯盈认为，企业比以往更需建立强大的安全基础，例如采用多重身分认证、验证访问设备，以及集中管理网络等，而情报预测也相当重要，应定期培训和教育员工，增加其安全意识。她又提到，部分网络供应商亦有与网络安全公司合作，推出商业宽频组合方案，由网域名称系统开始堵截恶意攻击，相关方式不需企业额外投资防衞配套，中小企也有能力负担。

黄家伟也指，网上有不少免费的网络安全员工培训平台，而政府资讯科技总监办公室也有推出网络安全资讯共享夥伴计画（Cybersec Infohub），与各行各业共享网络安全资讯，可助中小企解决部分问题。而在防范负面SEO方面，他谈到可委托网络安全机构定期扫描网站，并监察有否被反向连结，也应使用保安接层加密技术（Secure Socket Layer） ，加强保护数据。

全文刊《星岛》「每日杂志」

《星岛头条》APP经已推出最新版本，请立即更新，浏览更精彩内容：https://bit.ly/3yLrgYZ