中小企受新興網絡安全威脅網站原始碼被修改致搜尋引擎降級

社會事

中小企受新興網絡安全威脅網站原始碼被修改致搜尋引擎降級

2022年09月22日 09:25 最後更新：09:26

市場上不少企業運用搜尋引擎最佳化（SEO），希望旗下網站或宣傳頁面，能在搜尋引擎的結果中最優先被列出，藉此提升曝光率，惟相關方式是「藥」還是「毒」仍屬未知之數。有機構日前發表報告，提及半數本港受訪企業未有充分認識「負面SEO攻擊」，企業網頁原始碼一旦被黑客修改，並連結至負面網站，隨時被搜尋引擎「降級」。多名資訊科技專家向《星島》指，中小企正面對新興網絡安全威脅，使用第三方供應商服務、供應鏈及物聯網，均有被入侵風險，必須加強網絡安全防衞。

「有印刷業在搜尋引擎上被標示為殯葬業。」香港互聯網註冊管理有限公司（HKIRC）行政總裁黃家偉早前接到客戶查詢，指其網站突然被某搜尋引擎指是殯葬公司，團隊百思不解，最終發現客戶網站的網頁原始碼被修改。他解釋，搜尋引擎看的不單止網頁展示的版面內容，也會檢查網頁原始碼，香港已有少量個案，有人利用搜尋引擎的規則，破壞企業的搜尋引擎最佳化（SEO）部署。

插入非法賭博連結降排名

該機構日前發表年度研究結果，以問卷訪問了本港逾八百家不同規模、來自各行各業的企業，調查他們對新興網絡風險的安全意識，顯示與疫情前相比，本港整體企業的數碼使用率急增六成三，其中培訓和教育行業更錄得八成五的增幅。黃家偉預料，企業面對的網絡安全風險只會隨之增加，「如黑客以往靠電腦病毒入侵，現在人人有防毒軟件，自然會再找其他方式騙財。」

以上述的「負面SEO攻擊」為例，黃家偉指，多數企業只知道若網站被安裝惡意程式如木馬程式和病毒入侵，會令搜尋排名降低，卻不太清楚其他黑客的攻擊手段，例如修改企業網站的原始碼，插入非法賭博和色情網頁的連結，由於連結不會顯示在網站的頁面上，只有檢查原始碼才能找出排名下降的成因，如企業沒有找專家為網站作檢查，恐難以知道真相。

盜Gmail帳號暗網有價有市

據了解，相關的惡意攻擊，更令黑市衍生新產業，有外國企業不惜付費給經營非法賭場或色情網站的地下集團，要求他們在網站的原始碼上，加上連接到競爭對手網站的代碼，或以被懲罰的域名指向競爭網站，以此令對手的網頁被搜尋引擎「降級」。

外界誤解，黑客攻擊和勒索的對象應是富豪和大企業，惟根據網絡安全研究專家Patricia Ruffio近日披露的「2022年暗網價格指數」報告中，顯示被盜取的Gmail帳號，在黑市可賣至六十五美元（約五百一十港元），而被盜的facebook帳號和Instagram帳號，分別可賣四十五美元（約三百五十港元）及四十美元（約三百一十三港元）。環速集團業務拓展總監胡啟騫直言，「理論上，黑客未必針對特定企業，而是以不同方法，取得他們認為『有價值』的資料。」

「取易不取難，是常人也懂的道理。」香港資訊科技商會委員、Check Point香港及澳門總經理周秀雲提到中小企面對的網絡安全威脅，實際上與大公司相同，但後者有充足的團隊和資源維護網絡安全，而前者則相對較短缺，過去不乏外國黑客評價中小企最容易入侵，更戲稱中小企為「提款機」。

不少中小企因而使用第三方供應商的服務，但與對方簽訂「不披露協議書」，亦不代表公司資料能獲百分百受保障，胡啟騫不諱言，供應商有特別存取數據或瀏覽資料的權限，若出問題隨時牽連甚廣。他舉例，不少企業外判招聘工作給人力資源公司，給予外判公司操控企業的人力資源系統的權限，即使企業做足網絡安全防範，但仍可能因外判公司被攻破，連帶其可控制的系統也被一舉攻入，影響企業管理員工及發薪等流程。

使用供應商服務潛藏危機

周秀雲提到，去年底「Log4J」事故後，本港不少企業開始關注供應鏈層面的網絡安全。Log4J是多項互聯網服務和應用程式採用的Java日誌框架，該次漏洞影響全球近半公司，黑客利用易受攻擊的應用程式，在受感染的伺服器上遙距執行任意代碼；本港營銷公司Fimmick去年遭勒索軟件攻擊也是另一例子，多家企業受到牽連，部分客戶資料遭到外泄。

此外，物聯網（IoT）的廣泛應用也可引發危機，周分享，據報道指，美國有七成醫院曾因應用不同的IoT設備，造成資金遺失。她相信，將是香港未來面對的威脅。

企業需加強防衞定期掃描

要預防各項新興威脅，思科香港及澳門安全銷售總監丁凱盈認為，企業比以往更需建立強大的安全基礎，例如採用多重身分認證、驗證訪問設備，以及集中管理網絡等，而情報預測也相當重要，應定期培訓和教育員工，增加其安全意識。她又提到，部分網絡供應商亦有與網絡安全公司合作，推出商業寬頻組合方案，由網域名稱系統開始堵截惡意攻擊，相關方式不需企業額外投資防衞配套，中小企也有能力負擔。

黃家偉也指，網上有不少免費的網絡安全員工培訓平台，而政府資訊科技總監辦公室也有推出網絡安全資訊共享夥伴計畫（Cybersec Infohub），與各行各業共享網絡安全資訊，可助中小企解決部分問題。而在防範負面SEO方面，他談到可委託網絡安全機構定期掃描網站，並監察有否被反向連結，也應使用保安接層加密技術（Secure Socket Layer），加強保護數據。

往下看更多文章

黃志光：當局擬引入內地數據安全經驗　下半年進行網絡攻防演練

2024年04月08日 20:33 最後更新：23:10

政府資訊科技總監黃志光表示，當局正計劃引入內地的數據安全經驗及相關機構，包括於今年下半年進行網絡攻防演練，加強香港網絡安全生態。

立法會資訊科技及廣播事務委員會討論數碼港資料外洩事故，以及私隱專員公署對事故調查報告的跟進事項。多名議員關注網絡安全人員的問題，科技創新界議員邱達根建議，政府成立小組，在網絡安全方面，協助包括數碼港等政府機構及其他政府部門。

黃志光說，內地在網絡的攻防演練方面，已進行數年時間，每個省巿都有進行，有很好的成績。他說，曾參考內地省巿經驗，得知初步進行時，無論政務及商界系統都有點「千瘡百孔」，但透過數年的磨練提升，已得到效果。當局希望今年下半年，進行由公營機構及政府部門參與的攻防演練，並引入內地機構的經驗。黃志光表示，政府部門的網絡安全政策及指引，現時每兩至三年就會更新，而今個月底會有新政策指引推出給政府部門，亦會適時公開讓業界參考。