資訊保安隨筆 - 「一click頓成千古恨」　以下高危網絡活動你中幾多樣？

大家有沒有發現愈來愈多名人及明星的社交網站，轉為採用NFT頭像？隨着元宇宙的建立及大力推廣，市場憧憬加密貨幣（Cryptocurrency）將普及應用，擁有升值潛力，因此愈來愈多人參與NFT加密藝術市場。然而，NFT是高風險的產品，投資者不僅要面對市場風險，更需要留意虛擬世界的新技術，往往存在許多未知風險，容易成為黑客竊取他人財產及資料的溫床。若我們掉以輕心，隨時「一click頓失過千萬」。筆者用以下五條問題，讓你了解自己是否正面對高危網絡風險！

一、你是否正進行加密資產（例如NFT）交易？

近年加密貨幣廣受全球金融及IT界關注，加密貨幣及交易平台成為不法分子的攻擊目標，從加密貨幣交易和儲存兩方面入手，盜取用戶敏感資料，進入帳戶轉走貨幣，或作其他惡意用途。最近有某大型NFT網上交易平台的用戶誤中釣魚攻擊陷阱，被盜取超過170萬美元（約1,326萬港元）。事緣該NFT網上交易平台曾經以保安理由，要求用戶將出售中的NFT升級至新的智能合約，有黑客遂偽冒該平台團隊，藉着「提醒用戶」，發送包含惡意網站連結的釣魚郵件，該假網站藏有交易條款，要求用戶簽署授權執行。有用戶信以為真，不慎點擊授權，令巨額NFT資產被轉走。

香港生產力促進局（生產力局）轄下的香港電腦保安事故協調中心（HKCERT）早前已發出警告，呼籲用戶要加倍提防日益猖獗的網絡釣魚攻擊。筆者建議，NFT用戶收到熱錢包（Hot Wallet）的請求時，應仔細查看請求的內容，如有任何疑問，應拒絕該請求，並進一步審查。同時，也應定期檢視自己的NFT授權，並撤銷過去有問題或不確定用途的授權，並切勿向任何人披露加密貨幣錢包的恢復短語（Recovery Phrase）。

然而，即使個人提高警惕，這些資產交易平台本身或因設計缺憾、用戶未有設定雙重驗證方式登入及保安檢查不足等而出現保安漏洞，成為黑客攻撃的目標。黑客或會上載包含惡意程序碼NFT等，造成惡意交易而令用戶資產被盜、帳戶被控制或NFT被低價交易等情況。

另外一點需要注意的是，在交易NFT產品時，用戶也要留意NFT的版權問題。由於現時各國對NFT買賣缺乏監管，有機會出現任意抄襲NFT的情況；加上NFT平台設置在外國，NFT擁有人的權利並不清晰及難以追究，或會令購入侵權項目的用戶蒙受損失。一旦購入的是抄襲別人的NFT作品，也令NFT價值降低。

早前有用戶因為釣魚郵件，被騙走超過170萬美元的巨額NFT資產。

二、你是否正參與元宇宙或新興平台Discord的活動？

NFT及元宇宙（Metaverse）涉及新型虛擬資產儲存、交易及大量數據往來，當中亦包含虛擬世界中不同用戶的活動資訊，因此相關的資訊保安將備受更大關注。筆者預測，元宇宙及加密貨幣相關技術將會是今年黑客的重點攻擊目標之一，黑客或會模仿NFT平台的推廣手法，以免費名義發放假的資產，盜用用戶的帳戶或敏感資料，甚至盜用元宇宙的「虛擬化身」。筆者建議，用戶在簽署任何交易前，應小心核實所有資料，如有不明的資料，應提高警覺及向官方機構查證。

近期，有不少NFT賣家會在Discord平台宣傳，用戶應該要小心查證與官方公開資料不同的訊息，同時也要小心檢查網站連結，例如與官方網址比對有沒有可疑之處。如用戶發現平台上的NFT價值與官方公佈的不同，應提高警覺。筆者建議用戶可以設置臨時錢包，只儲存適量加密幣作交易用。至於平台管理員，則要啟用雙重認證，設定各個管理人員的權限，並審視管理工具權限。

元宇宙及加密貨幣相關技術將會是今年黑客的重點攻擊目標之一。

三、你有否使用新興科技（例如：物聯網、人工智能、二維碼、5G等）？

隨着愈來愈多新科技普及應用，其潛在保安漏洞，以及黑客發動的網絡攻擊將會趨向多元化。舉例說，用戶缺乏對敏感資料的安全保護意識，利用物聯網存取未有加密的資料；黑客利用人工智能製作虛假身份或盜用身份進行欺詐；另外，黑客利用二維碼（QR code）散播釣魚網站，或騎劫攻擊以QR code登入的帳戶等，都值得你密切提防！

物聯網、人工智能、二維碼等新興科技潛在保安漏洞。

四、你有否採用第三方服務供應商提供的服務？

隨着疫情進一步加快供應鏈互連和數碼化，將會有更多黑客透過攻擊第三方服務供應商，以入侵最終目標機構的供應鏈。這種供應鏈攻擊主要利用企業對合作夥伴的信任，避開保安防禦。筆者建議，如果你是企業的管理人員，應加強對第三方供應商及應用軟件監察，以改善保安防禦機制。此外，亦要定期評估網絡和系統的保安，持續監察所有連接到互聯網的設備配置。

現時有不少企業已轉型至混合工作模式，早前HKCERT公布全球的勒索軟件攻擊有所增加，新一波攻擊相信是利用遙距存取工具和網路儲存裝置（Network Attached Storage, NAS）中的漏洞作為主要的入侵缺口。因此，企業在轉型期間要注意網絡安全，包括及時更新資訊科技系統、留意供應商的官網、定期更改設備的管理員和用戶密碼及使用多重身份驗證、建立數據離綫備份及定期進行數據復原測試，並定時更新已終止支援服務的軟硬件產品。

如果你是企業的管理人員，應加強對第三方供應商及應用軟件監察。

五、你有否進行網上購物／使用網上銀行？

相信這一點，大部分人包括筆者在內都無法避免。隨着數碼化融入經濟及生活每一環，網絡攻擊將會變得更具針對性及有組織。無論是企業還是個人，都會容易成為具規模攻擊的對象，舉例說，多重勒索軟件出現，以及針對常用服務如網上購物、電子銀行等釣魚攻擊將成常態。筆者建議，切勿任意點擊或打開來歷不明的電郵、短訊或社交媒體內的超連結或附件。另外，用戶更要避免使用公共Wi-Fi進行網上交易，不要在網上（例如：購物平台）儲存信用卡資料。同時，用戶也可以善用信用卡雙重認證服務及設定網上交易限額，保障自己。

多重勒索軟件以及針對常用服務如網上購物、電子銀行等釣魚攻擊將成常態。

正因網絡世界一日千里，資訊保安新威脅漸趨複雜及多元化。無論個人或企業，均需要保持警惕及防範意識，定期吸收新的網路安全資訊，例如HKCERT的免費資訊，並提升應對能力，才能盡情且安心享受網絡虛擬世界帶來的方便和好處。

撰文：陳仲文 香港生產力促進局數碼轉型部總經理兼HKCERT發言人