[網絡安全]
過去一年,元宇宙、物聯網、Web 3.0迅速發展,惟網絡攻擊激增。香港電腦保安事故協調中心(HKCERT)早前發布的2022年資訊保安總結及2023年保安預測,點出五大範疇的保安風險,當中包括釣魚攻擊、人工智能攻擊、網絡犯罪服務,以及Web 3.0與物聯網相關令人關注。
去年HKCERT處理共8,393宗保安事故,比2021年上升9%,當中的殭屍網絡比去年上升達四成之多;網絡釣魚的保安事故大多與電子商貿、加密貨幣相關,雖然個案數目比2021年下跌但仍佔第二位。網絡攻擊方式、數量增多,而且更形複雜。生產力局數碼轉型部總經理兼 HKCERT 發言人陳仲文指出今年首要注意的是以釣魚攻擊盜用身分或憑證的個案,黑客喜用憑證釣魚(Credential Phishing)騙取用戶個人敏感資料,例如偷取密碼、密鑰、用戶帳戶資訊等,或以中間人網絡釣魚(AiTM phishing) 。同時,黑客亦會嘗試繞過多重認證(MFA)保安措施,甚至多重要素驗證疲勞攻擊(MFA Fatigue),令用戶難以防備。此外,在搜尋引擎的「偽裝廣告」(Masquer Ads)亦屬常見的保安風險。
隨著人工智能迅速發展,更容易令黑客乘虛而入。黑客可利用AI編寫惡意程式、製作偽造訊息,甚至擅自更改影像或聲音也變得輕而易舉。AI的自然語言處理工具(NLP)可以生成複雜的惡意軟件代碼。人工智能欺詐(A.I. Frauds)已非天方夜譚,早前《全美一叮》電視節目當中運用AI技術合成影像令人讚嘆,正正表現AI欺詐幾可亂真。網絡罪犯開發工具或服務並出售或出租,吸引愈來愈多不法分子從網上購買例如Ransomware-as-a-Service (RaaS)、Phishing Kits (Evilginx2、Muraena) 等網絡犯罪服務(Crime-as-a-service,CaaS)。這種以服務形式出售的網絡攻擊,據指低於1美元已可購買千個被盜取的帳戶資訊,成本愈來愈低,發動網絡攻擊垂手可得。
此外,新興的Web 3.0亦造就更多網絡攻擊個案,例如不少用戶開始應用加密貨幣, HKCERT在2022年處理的釣魚連結當中佔12%屬於此類。假冒虛擬錢包程式應用日趨流行;或是不法分子盜取使用者的NFT賬戶或敏感資料,並模仿NFT平台的推廣手法,以免費名義發放虛假NFT資產。元宇宙的用戶身分盜竊個案增加,令用戶的「虛擬化身」被盜用。另一方面,智能合約的程式漏洞亦容易令用戶蒙受損失。
物聯網相關的產品或裝置如雨後春筍,惟IoT裝置例如智能手環、智能鎖連接互聯網後,資訊保安威脅隨之增加。理大電子計算學系副教授羅夏樸博士表示,假如IoT裝置未有不時更改預設密碼或更新軟件,黑客便有機可乘發動網絡攻擊。他與其研發團隊曾經嘗試成功入侵航拍機或智能電燈的控制系統,不但能奪取控制權,甚至可自毁部件。他們亦嘗試測試以手機應用程式操控車載資訊系統,成功令汽車駕駛期間受他人所控,倒後鏡及車窗被遙控,情況令人堪憂。
生產力局數碼轉型部總經理兼 HKCERT 發言人陳仲文指出,社會各界必須謹慎應對網絡保安風險,小心保管個人資訊,除了生日日期及身分證號碼外,自己的指紋、聲線等生物特徵,亦必須提高警覺以免被盜取。理大電子計算學系副教授羅夏樸博士則表示連接互聯網後的裝置容易令黑客攻其不備,鼓勵推行零信任安全架構,警惕Web 3.0保安風險。