HKCERT:2023年首季網絡釣魚事件跌至2804宗
由香港生產力促進局轄下的香港電腦保安事故協調中心 (HKCERT) 編制的《香港保安觀察報告》,最新一個季度報告剛剛出爐。釣魚網站事件今年首季錄得跌幅至2,804宗,按季下跌79%。主要由於本季因涉及信用咭公司釣魚網站減少。而人工智能聊天機器人ChatGPT自去年11月推出以來,短短兩個月便獲得一億用戶垂青,黑客亦借此機會,通過提供虛假的應用程式或免費高級服務作招徠。
這份報告除會提供過去一季被發現曾經遭受或參與各類型網絡攻擊活動的香港網絡系統的數據外,亦會回顧該季度所發生的重大保安事件及探討熱門保安議題,並提出易於執行的保安建議,以提升公眾的資訊保安認知水平,増強應對有關風險的能力。
今期報告的重點包括:
· 釣魚網站事件今年首季錄得跌幅至2,804宗,按季下跌79%。主要由於本季因涉及信用咭公司釣魚網站減少,但值得注意的是,有關數字只反映寄存於香港系統內的網站情況,並不包括海外。黑客可以將釣魚網站寄存海外伺服器,但攻擊香港用戶,例如本季曾發生多宗有關釣魚攻擊引致香港用戶重大損失的例子,當中涉及的釣魚網站亦是寄存於海外。
· 近年,更多工商企業和公用事業機構會運用5G或物聯網技術,把工業營運技術系統(OT)連接至資訊科技(IT)系統或互聯網,讓工廠機器及重要基礎設施設備的運作數據可即時回傳至IT系統,方便實時監察和分析機器和設備的運作情況,甚至自行調節運作參數,大幅提升生產效率及產能,進一步優化管理。OT系統及IT系統融合帶來機遇,亦帶來新的網絡保安風險,其中一個例子是若將兩者互聯後,以往只影響IT系統的惡意軟件風險亦會延伸至OT系統。HKCERT將會探討IT/OT融合帶來的挑戰,以及在融合前後的準備功夫,並會介紹減低風險的措施。
· 身份認證是指驗證瀏覽資訊或服務權限的授權過程,用作驗證並確保用戶有權瀏覽這些內容或服務。身份認證最常見的例子是使用用戶名和密碼登錄,而有關技術最近更已經發展到可以利用指紋或面部來識別用戶身份。儘管大多數身份認證技術都值得信賴,但都可能存在缺陷,而網絡犯罪分子往往會利用這些缺陷來發動攻擊。HKCERT 亦將身份/憑證盜用列為 2023 年五大資訊保安風險之一,身份攻擊的手法層出不窮,若用戶盡早了解不同的攻擊手法,可避免跌入陷阱。
· 人工智能聊天機器人ChatGPT自去年11月推出以來,短短兩個月便獲得一億用戶垂青,最近更推出一項名為ChatGPT Plus的付費訂閱服務。黑客亦借此機會,通過提供虛假的應用程式或免費高級服務作招徠,誘使用戶下載惡意軟件或分享敏感資訊。根據網絡安全情報公司Cyble的報告,已經發現逾50個假冒和惡意的應用程式,它們會使用ChatGPT商標來進行詐騙活動,包括SMS欺詐、間諜軟件和帳單欺詐。HKCERT針對這情況並提出安全建議,提升公眾的防禦能力。
更多相關資訊,請瀏覽:
https://www.hkcert.org/tc/watch-report/hong-kong-security-watch-report-q1-2023
