近年資訊保安成為各界關注的重點,香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)日前在其年度資訊保安展望簡布會提醒社會各界今年要留意五大資訊保安風險,包括身份/憑證盜用、利用人工智能(AI)的攻擊、網絡犯罪服務(Crime-as-a-Service)、針對Web 3.0 的攻擊及物聯網(Internet of Things, IoT)廣泛應用引發的攻擊。
在身份/憑證盜用,日常生活上,用家都會登入不同的電子平台,從網購平台、網上銀行,以至工作及私人的電郵系統。平台都需要驗證用戶身份,近年提倡的多重要素驗證(Multi-factor authentication, MFA)便是目前其中一種較為安全的方法,但黑客仍然有技術盜取用家的身份。 黑客架設釣魚網站作為一個代理,在中間代理受害人與官方網站進行雙重認証。成功驗證後,會把受害人載入官方網站繼續使用服務,但其實黑客已經在背後偷取受害人的 Session Cookie。手法厲害之處,是受害人根本不會知道自己已經中招。
其後利用「MFA 疲勞攻擊」- 黑客會在短時間內發出大量 MFA 授權請求轟炸受害人,務求令受害人誤按同意授權。另一邊廂,黑客得到受害人授權後就可以登入受害人帳戶。或利用「偽裝廣告」- 黑客在搜尋平台上賣廣告,令自己的假網站可以在搜尋結果的頭數位,甚至前於被冒充品牌的官方網站,受害人一不留神就登入這些假網站;透過「OAuth釣魚攻擊」- 受害人不知就裏授予權限給惡意程式,令惡意程式可以存取到用戶的資料;利用社交工程,如近期虛擬銀行騙案,犯案者利用朋友關係,成功記錄受害人容貌及身分證等個人訊息來開戶借貸。
勒索軟件低至100美元有交易
在網絡犯罪服務(Crime-as-a-Service)方面現在有不少網絡罪犯都會通過出售或者出租他們工具來圖利,讓整個網絡犯罪更加商業化、工業化,大大降低技術門檻。普通人只需要購買或租用工具,或者購買大量個人資料來發動網絡攻擊,而且購買或者租用這些工具都好便宜,例如勒索軟件低至100美元都有交易,使這種網絡犯罪服務模式日趨普遍,人人都可以做黑客,對企業及大眾都構成很大威脅。
針對以上五大資訊保安風險,HKCERT表示,未來一年會以不同活動助應對,包括舉辦預防網絡釣魚活動,在全港不同地方擺設宣傳攤位宣傳、出版網絡安全刊物、聯同本地網絡供應商及世界各地的電腦保安事故協調中心一起清除可疑網站、主動收集惡意程式樣本並進行分析,以及為公眾提供解決網絡保安事故的方法及意見等。
更多關於資訊保安風險,請瀏覽:
- https://www.hkcert.org/tc/blog/verify-from-various-sources-to-ensure-security-when-searching-for-answers-with-ai
- https://www.hkcert.org/tc/blog/adopt-good-cyber-security-practices-to-make-ai-your-friends-not-foes
- https://www.hkcert.org/tc/blog/please-sign-them-smart-contracts
- https://www.hkcert.org/tc/blog/what-you-know-about-the-cyber-security-of-nft
- https://www.hkcert.org/tc/blog/nft-boom-how-to-protect-your-nft-assets
- https://www.hkcert.org/tc/blog/how-to-mitigate-new-cyber-security-risks-arising-from-the-growing-use-of-technology-in-industrial-operations
延伸閱讀:HKCERT:本地網絡釣魚事件連升三季 逾13,000宗按季激升九成