跳转到主要内容

香港网络保安事故回升 HKCERT呼吁社会各界提高信息安全意识

(香港,2023年2月8日)香港生产力促进局(生产力局)辖下的香港电脑保安事故协调中心(HKCERT)今天举行简布会,总结2022年香港信息安全状况并发布2023年安全预测,还邀请香港理工大学(理大)专家学者分享物联网(IoT)及第三代互联网(Web 3.0)最新安全风险。资讯科技(IT)的广泛应用使各行业的数字化进程加快,与此同时利用新技术发动的网络攻击也有增无减;为免让网络不法份子有机可乘,HKCERT呼吁企业及市民应持续提高信息安全意识,加强防范各种网络攻击,以免蒙受损失。

HKCERT总结2022年香港信息安全状况,中心去年共处理8,393宗安全事故,较2021年上升9%,是四年来首次录得升幅。当中最主要事故为僵尸网络(4,858宗),较2021年上升 40%;而第二大主要事故为网络钓鱼(2,946宗),虽然较2021年下跌21%,但所涉及的网址URL(15,736条)则上升4%,当中逾六成与电子商贸、网上银行及加密货币有关。

生产力局数码转型部总经理兼HKCERT发言人陈仲文先生表示:“过去一年全球经济活动及商务往来逐渐恢复正常,但企业及个人用户对互联网和新兴科技的依赖却有增无减,网络攻击的方式、数量及复杂程度亦随之增加。HKCERT会继续积极研究网络攻击趋势及安全技术,并通过不同途径,例如发出网络攻击预警、安全建议等,协助社会各界应对千变万化的安全挑战。我们也将举办大型国际研讨会和比赛,包括‘资讯保安高峰会’及‘香港网络保安新生代夺旗挑战赛’,以提升本地信息安全意识,并培育新一代网络安全精英。”

本次报告提出了2023年值得留意的五大信息安全风险:

  1. 钓鱼攻击盗用身份或凭证:HKCERT 在2022年处理的安全事故当中,钓鱼攻击一直名列前茅。 其中凭证钓鱼(Credential Phishing)更是黑客惯常盗用身份的第 一步,以骗取用户的个人敏感资料。另外,黑客也开始使用新攻击手法尝试绕过多重认证(MFA)保安措施。
  2. 利用人工智能(AI)的攻击:对比传统系统,AI系统具有更深层次、更广泛的潜在网络安全风险。例如多个服务使用同一AI模型,当模型受到攻击篡改,则所有使用该模型的服务皆会受到波及。另外,黑客也会利用AI编写恶意程序或制作伪造讯息,如影像和声音,用以散播谣言或勒索。
  3. 网络犯罪服务(Crime-as-a-service)低廉化将吸引更多不法分子使用:随着网络犯罪商业模式改变,网络攻击已发展成服务形式,大幅减低发动攻击的门槛。 网络犯罪服务十分廉价,例如少于1美元便能购买1,000个被盗取的帐户。
  4. Web 3.0:其核心概念是“去中心化”,最为人熟悉的应用就是加密货币及元宇宙。HKCERT在2022年处理的钓鱼链接当中,涉及加密货币的占12%。香港金融管理局将虚拟货币交易所纳入规管范围,并规定虚拟资产服务提供者必须在2023年6月1日或之前获取许可牌照,可见Web 3.0 的安全风险不容忽视。
  5. IoT 广泛应用产生更多攻击机会:数字化带动“工业4.0”发展,以智能制造帮助企业提升经营效率。“工业4.0”更是推动香港新型工业化的其中一个重要元素,它将IT及运营技术的系统融合,并往往会应用在不同的IoT装置,将IT及运营技术系统连接至互联网,增加了网络的出入口或网络接口,带来新的信息安全风险和威胁。

要应对以上五大信息安全威胁趋势,陈仲文先生呼吁社会各界不能掉以轻心,他说:“大家要小心保护个人信息,今时今日的个人信息除出生日期,身份证号码外,也包括生物特征,如指纹、声纹等,须提防被不法分子利用;还要注意搜索引擎提供的最佳结果和网站域名的英文拼法,以防范恶意及钓鱼网站。另外,要了解AI、区块链、加密货币、元宇宙等新技术所带来的安全威胁,并制定相关的安全策略及应对措施。企业也要在联系工业设备及IoT设备前做好充分安全准备,例如参考国际安全标准,建立一个安全架构并更新企业内部安全政策及营运守则,以减低网络连接后带来的风险。此外,要定期评估网络和系统的安全,持续监察所有联系互联网的设备配置。”

针对钓鱼攻击变得更复杂及多样化,HKCERT将举办预防网络钓鱼活动,在香港不同地区摆设宣传摊位,提醒公众关注钓鱼攻击,加強应对此类攻击的能力;也将与网络供应商及世界各地的保安事故协调中心合作清除可疑及恶意网站;并将出版网络安全刊物提醒公众关注新兴风险;还将主动收集恶意程式样本并对样本进行分析,以及为公众提供解决网络安全事故的方法及意见。此外还将积极向企业推广物联网及运营技术的资讯安全意识,也将联同不同行业的商会举办研讨会和培训课程,以加强中小企的信息安全知识和应对能力。

今日的简布会亦邀请了理大电子计算学系副教授罗夏朴博士分享IoT及Web 3.0最新保安风险趋势。他表示:“如果连接互联网的设备没有更改预设密码或更新过时的软件,黑客便有机可乘,利用这些弱点进行攻击。同时,物联网设备公司应采用全面的方法来加强物联网系统的安全,包括保护物联网设备及其固件和人工智能算法、应用程式和伺服器、网络协定和连接,以及推行零信任安全架构。同时,大家要警惕Web 3.0的保安风险,因为区块链/智能合约可能存在未知/已知的安全漏洞,现在各区块链平台上有许多欺诈和恶意智能合约以及从不同维度进行的攻击。区块链/智能合约开发者应采用系统化的方法来加强其产品的安全,包括详尽的代码审计、算法和程序逻辑的安全评估、代码强化、实时监控分析和在线防御、恶意智能合约/前端应用程式的检测等。理大的区块链科技研究中心和人工智能物联网研究院在这些方面做了大量的研究并取得了丰硕成果。”

企业或公众如欲向HKCERT报告与信息安全相关的事故,例如恶意程序、网络钓鱼、阻断服务攻击等,可以填写网上表格:https://www.hkcert.org/zh/incident-reporting 或致电24小时热线(+852) 8105 6060。 如有其他疑问,欢迎电邮至 hkcert@hkcert.org 与HKCERT联络。

- 完 -

香港生产力促进局(生产力局)辖下的香港电脑保安事故协调中心(HKCERT)今天举行简布会,由生产力局数码转型部总经理兼HKCERT发言人陈仲文先生(左)总结2022年香港信息保安状况并预测2023年五大信息保安风险,还邀请香港理工大学电子计算学系副教授罗夏朴博士(右)分享物联网(IoT)及Web 3.0最新保安风险趋势。香港生产力促进局(生产力局)辖下的香港电脑保安事故协调中心(HKCERT)今天举行简布会,由生产力局数码转型部总经理兼HKCERT发言人陈仲文先生(左)总结2022年香港信息保安状况并预测2023年五大信息保安风险,还邀请香港理工大学电子计算学系副教授罗夏朴博士(右)分享物联网(IoT)及Web 3.0最新保安风险趋势。