探射燈：港淪釣魚網站基地增兩倍

HKCERT上月公布，該中心於去年共處理了一千九百三十一宗釣魚網站寄存個案，是前年的兩倍多，數目激增的原因在於針對內地銀行的大型釣魚活動，利用了位於本港的寄存服務。另方面，中心經分析後指，去年約有二萬二千五百七十六條釣魚網址，使用了本港的IP地址。

釣魚網站是指黑客仿照銀行、購物等商業網站製作的虛假網站，目的是令用家信以為真，借機盜取各種個人資料。HKCERT一直有收到國家互聯網應急中心（CNCERT/CC）、中國人民銀行、受影響銀行保安服務代理，甚至是日本及美國的互聯網應急中心，報告發現釣魚網址。

本港過去曾屢次出現不同的虛假銀行網站。	本港的語言及網絡環境，為黑客提供了可乘之機。	HKCERT報告指出，一五年寄存在本港的釣魚網站數目飆升。

發送垃圾電郵 傳播病毒

黑客一般會匿名租用本港的伺服器，又或直接入侵有保安漏洞的網站，再把釣魚網站或其他有害內容寄存其中。規模較細的網頁寄存公司及缺乏網絡保安的中小企較易「中招」。內地法例要求任何人開設個人網站時，須實名作「ICP備案」，本港則並無此類要求，記者日前登入一個內地購物網站，亦發現多個推銷「香港機房」的廣告，均列出「免備案」作賣點之一。

陳德良表示， 公司曾於去年收到一個由HKCERT匯報的個案。	范健文指，黑客入侵本港伺服器寄存有害網站的情況並不罕見。	梁秉雄認為，內地傾向主動封鎖有問題網站，本港執法較被動。

大型網頁寄存公司ICDSoft經理陳德良表示，免登記是對黑客的「吸引力」之一，其公司會全天候監察伺服器運作，務求在發現問題時第一時間處理。他坦言，黑客透過本港伺服器發送垃圾電郵，又或傳播電腦病毒的情況時有發生，該公司亦曾於去年收到一個由HKCERT匯報的個案，「有客戶嘅網站被入侵，畀人用嚟放釣魚網站，係一個虛假嘅銀行網站」。這些虛假網站會在一至兩日內被徹底移除，並作適當跟進。

部分企業網絡乏保安知識

另一大型網頁寄存公司UDomain科技發展部總監范健文亦指，黑客入侵本港伺服器寄存有害網站的情況並不罕見，「多數係網站本身有保安漏洞，或者個系統過時，令人有機可乘。」他表示，部分中小企的網絡管理人員並沒有足夠的保安知識，故其公司會為客戶提供保安建議，減低「出事」機會。他續指，近年政府有意把本港發展成數據中心，伺服器數量增加，與之有關的問題愈來愈多亦無可厚非。該兩間公司均表示，伺服器備有防毒及防火牆等措施，如發現客戶上載不法內容，會立即刪除。

內地主動封鎖 港執法被動

香港專業教育學院資訊科技系系主任梁秉雄則謂，內地傾向主動封鎖有問題網站，本港執法卻較被動，加上本港使用中文的語言環境等因素，對黑客有吸引力。他續指，部分小型網頁寄存公司基於成本問題，在保安上會有所不足，他們可加強監查客戶的寄存空間使用情況，如發現有數據用量突然急增等異常情況出現，便應立即採取行動補救。

資訊科技界立法會議員莫乃光表示，政府應加強宣傳及教育，增加對中小企的援助，並建議向HKCERT增撥資源。另外，執業大律師陸偉雄解釋，若有網頁寄存空間被盜用犯案，只要不能證實有犯罪意圖，涉事公司一般不用「上身」，惟他提醒，中小企應盡可能做好網絡保安，「做得愈小心，就愈證明你唔想畀人入侵，唔想犯罪。」

圖：關萬亨　

文：陳偉豪