最新消息

網頁安全不容忽視

2022-02-15

網頁安全不容忽視

 

域名的安全是你的第一道防線。在過去一年,有不少因為人為錯誤而引起網絡停頓的大規模故障,當中包括域名的配置消失。域名在網絡世界擔當舉足輕重的角色,不論被惡意攻擊或人為疏忽導致的域名配置錯誤,都足以癱瘓其服務從而令公司形象受損。例如在過去的美國總統大選期間,有候選人的競選網站就曾經被惡意導向假網站或宣傳網站讓不法份子有機可乘

 

根據SecurityScorecard和CSC2,3 對福布斯全球2000強企業的調查報告指出,其中81%的企業域名正處於較大域名系統劫持(DNS (Domain Name Sever) Hijacking)的風險之中,原因是這些域名大多沒有採用基本的域名安全措施,例如是域名鎖 。

 

甚麼是DNS Hijacking?簡單而言就是一個域名被人惡意劫持,攻擊者可以隨意修改你的DNS 紀錄,並把要求導向攻擊者自己所設置的假網站IP,再透過假網站偷取客戶的登入名稱和密碼。

 

在互聯網普及的年代,網站作為客戶與企業之間最重要的接觸點,假若企業域名被劫持,商戶不單要承擔把公眾個人資料外洩的責任,更令企業長年累月建立的可靠形象受損,單是商譽的受損已經無法用金錢估計的,也難以想像要用多少時間和努力才能去重獲客戶的信任。即使沒有資料外洩,攻擊者只需簡單把你的域名從網絡上移除或轉售,對於企業而言都絕對是難以挽救的缺失。

 

除了外來的惡意攻擊,另一種常見的安全漏洞就是公司為了維持網站的日常運作,往往會授權員工作為網站系統管理員(Web Master)控制掌握對域名更動的權限。個別員工只憑其個人認證就可以隨意更改整間企業的DNS 紀錄,一旦員工悄有不慎出現人為錯誤甚或離職後立心不良,即可輕易將整個網站癱瘓,帶來的後果是嚴重破壞企業的聲譽。不論是從商業安全角度出發或針對人為錯誤的風險管理角度而言都十分不穩妥。因此,對於一間負責任的企業而言,一個有效的域名鎖是不可或缺的。

 

然而,不是每間域名註冊商都提供域名鎖的服務,而域名鎖協議一般都是企業級的註冊商才會提供。HKDNR的.hk LOCK 正是一項域名鎖服務,避免不法份子在未經授權的情況下竊取資料,利用域名從事網上非法活動。不論你的網站內部安全做得多好,域名更改往往是被忽略的一環。當雙重驗證(2FA) 在日常生活的應用中也已經普及化,你還會接受你苦心經營的域名可以被隨意更改或不具備雙重保護?為了確保你珍貴資產的安全,.hk LOCK 提供的保護更超出雙重驗證,即使不幸被騙徒集齊你的登入資訊和一次性密碼,在解鎖過程之前仍會由系統向指定授權人發出通知進行核實和確認,確保每次操作都是經由授權人的批准才進行,進一步防止來自外來抑或內在的潛在風險和其他潛在的保安漏洞(例如盜取密碼、虛假電郵地址和IP地址等)。

 

域名鎖絕非大企業才需要具備的域名保障服務,任何域名也不應該被人惡意更改和攻擊。如對.hk LOCK域名鎖的服務有興趣,可瀏覽以下網址https://www.hkirc.hk/zh-hant/our_services/cybersecurity_services/hk_lock/ 查詢更多詳情。

 

Reference:

  1. https://www.darkreading.com/risk/us-election-related-websites-vulnerable-to-fraud-abuse
  2. https://www.helpnetsecurity.com/2021/12/20/domain-registrar-choice/
  3. https://s3.us-east-2.amazonaws.com/imarc-securityscorecard.com/prod/images/CSC_SSC_White-Paper_v9.pdf