Facebook／Google帐号秒被盗！超像真钓鱼网站涌现 做好1步免中招

钓鱼网站骗局 做少一步、1秒盗取你的Facebook／Google帐号！｜网络世界虽然方便，但却是众所周知的危机四伏，除了不时爆发的木马程式、电脑病毒，还有一类陷阱会以伪装登入页面，利诱用户自行输入敏感资料如不同网页的登入资讯等等，亦即是所谓的“钓鱼（Phishing）”，而这种诈骗手法近年有进化的趋势。

钓鱼网站进化、旧式辨别招数不管用？

钓鱼网站多年来不断进化，最初它们只是外表上做得像原版网站，然而其网站必然需要找到正牌网站以外的伺服器作储存，故各类保安专家都建议网民在登入前可以先核实网址资料。

然而近年黑客就利用不少网站会用到 Google／Facebook 等帐号作快速登入的特性，建立出“页中页”的陷阱设计（Browser in the Browser，简称“BitB”），由于这些“页中页”并不需要连上真正的网站，故其网址列亦可以一并伪造，使之骤眼望去根本难以分辨，令用户的中招机率大增。

👉 手机碰瓷党出没｜以屏幕破裂手机敲诈某类路人！提防中伏两大重点

为了让大众了解了这种陷阱的严重性、并强调旧式以网址分辨假网站的招数已失效，有名为 mr.dox 的网络保安研究员就开发了一个简易的“页中页”范本并放到 GitHub 上分享，并期望此工具可以供不同企业或一众“白帽黑客”使用，以便测试不同网站的保安措施是否周全。

做好二步认证、可保帐户周全

“页中页”形式的钓鱼陷阱可谓防不胜防，用户稍一不慎就会将自己的帐户登入资料拱手相让，然而这只限於单一帐户、密码的外泄，其实还是有招数可以防御，而答案，则仍是老生常谈的二步认证（2-step Authentication）。

目前绝大部份的网络大企业如 Google、Facebook、Instagram 等都可以开启二步认证，只要设定好后，即使帐户名称及密码外泄，其在登入时仍然需要用户以贴身的装置（最常用的是手机）作出进一步的认证程序，例如输入 SMS 码等等，就可以有效地避免帐户控制权被瞬间夺走，各位可不要为一时方便而放弃二步认证。

👇👇👇即睇Google Authenticator两步验证加强Instagram保安👇👇👇

👉 消委会教路手机相机电池保养6招　锂电快老化？这样充更耐用

👇👇👇即睇Google Authenticator两步验证加强Facebook保安👇👇👇

同场加映：消委会踢爆疫下3大网购骗局｜货到付款、直播带货皆可是骗财陷阱

新冠肺炎疫情已持续超过2年时间，这段期间全世界形成的“新常态”，减少了人们出外购物的机会与时间，令以手机／电脑进行网购比从前更为平常。不过在不能实际接触到货品的前提下进行购物，可以衍生的问题都相当多，包括各式各样的骗财陷阱。👉👉👉香港消委会近日在新一期的《选择》月刊公开了几个网购陷阱的个案，供各位消费者参考警剔。