跳转到主要内容

关闭

展开

职位空缺

招标资料

联络我们

在线客服

资讯保安随笔 - 「一click顿成千古恨」 以下高危网络活动你中几多样?

大家有没有发现愈来愈多名人及明星的社交网站,转为採用NFT头像?随着元宇宙的建立及大力推广,市场憧憬加密货币(Cryptocurrency)将普及应用,拥有升值潜力,因此愈来愈多人参与NFT加密艺术市场。然而,NFT是高风险的产品,投资者不仅要面对市场风险,更需要留意虚拟世界的新技术,往往存在许多未知风险,容易成为黑客窃取他人财产及资料的温床。若我们掉以轻心,随时「一click顿失过千万」。笔者用以下五条问题,让你了解自己是否正面对高危网络风险!

一、你是否正进行加密资产(例如NFT)交易?

近年加密货币广受全球金融及IT界关注,加密货币及交易平台成为不法分子的攻击目标,从加密货币交易和储存两方面入手,盗取用户敏感资料,进入帐户转走货币,或作其他恶意用途。最近有某大型NFT网上交易平台的用户误中钓鱼攻击陷阱,被盗取超过170万美元(约1,326万港元)。事缘该NFT网上交易平台曾经以保安理由,要求用户将出售中的NFT升级至新的智能合约,有黑客遂伪冒该平台团队,藉着「提醒用户」,发送包含恶意网站连结的钓鱼邮件,该假网站藏有交易条款,要求用户签署授权执行。有用户信以为真,不慎点击授权,令巨额NFT资产被转走。

香港生产力促进局(生产力局)辖下的香港电脑保安事故协调中心(HKCERT)早前已发出警告,唿吁用户要加倍提防日益猖獗的网络钓鱼攻击。笔者建议,NFT用户收到热钱包(Hot Wallet)的请求时,应仔细查看请求的内容,如有任何疑问,应拒绝该请求,并进一步审查。同时,也应定期检视自己的NFT授权,并撤销过去有问题或不确定用途的授权,并切勿向任何人披露加密货币钱包的恢復短语(Recovery Phrase)。

然而,即使个人提高警惕,这些资产交易平台本身或因设计缺憾、用户未有设定双重验证方式登入及保安检查不足等而出现保安漏洞,成为黑客攻撃的目标。黑客或会上载包含恶意程序码NFT等,造成恶意交易而令用户资产被盗、帐户被控制或NFT被低价交易等情况。

另外一点需要注意的是,在交易NFT产品时,用户也要留意NFT的版权问题。由于现时各国对NFT买卖缺乏监管,有机会出现任意抄袭NFT的情况;加上NFT平台设置在外国,NFT拥有人的权利并不清晰及难以追究,或会令购入侵权项目的用户蒙受损失。一旦购入的是抄袭别人的NFT作品,也令NFT价值降低。

早前有用户因为钓鱼邮件,被骗走超过170万美元的巨额NFT资产。早前有用户因为钓鱼邮件,被骗走超过170万美元的巨额NFT资产。

二、你是否正参与元宇宙或新兴平台Discord的活动?

NFT及元宇宙(Metaverse)涉及新型虚拟资产储存、交易及大量数据往来,当中亦包含虚拟世界中不同用户的活动资讯,因此相关的资讯保安将备受更大关注。笔者预测,元宇宙及加密货币相关技术将会是今年黑客的重点攻击目标之一,黑客或会模仿NFT平台的推广手法,以免费名义发放假的资产,盗用用户的帐户或敏感资料,甚至盗用元宇宙的「虚拟化身」。笔者建议,用户在签署任何交易前,应小心核实所有资料,如有不明的资料,应提高警觉及向官方机构查证。

近期,有不少NFT卖家会在Discord平台宣传,用户应该要小心查证与官方公开资料不同的讯息,同时也要小心检查网站连结,例如与官方网址比对有没有可疑之处。如用户发现平台上的NFT价值与官方公佈的不同,应提高警觉。笔者建议用户可以设置临时钱包,只储存适量加密币作交易用。至于平台管理员,则要启用双重认证,设定各个管理人员的权限,并审视管理工具权限。

元宇宙及加密货币相关技术将会是今年黑客的重点攻击目标之一。元宇宙及加密货币相关技术将会是今年黑客的重点攻击目标之一。

三、你有否使用新兴科技(例如:物联网、人工智能、二维码、5G等)?

随着愈来愈多新科技普及应用,其潜在保安漏洞,以及黑客发动的网络攻击将会趋向多元化。举例说,用户缺乏对敏感资料的安全保护意识,利用物联网存取未有加密的资料;黑客利用人工智能制作虚假身份或盗用身份进行欺诈;另外,黑客利用二维码(QR code)散播钓鱼网站,或骑劫攻击以QR code登入的帐户等,都值得你密切提防!

物联网、人工智能、二维码等新兴科技潜在保安漏洞。物联网、人工智能、二维码等新兴科技潜在保安漏洞。

四、你有否採用第三方服务供应商提供的服务?

随着疫情进一步加快供应链互连和数码化,将会有更多黑客透过攻击第三方服务供应商,以入侵最终目标机构的供应链。这种供应链攻击主要利用企业对合作伙伴的信任,避开保安防御。笔者建议,如果你是企业的管理人员,应加强对第三方供应商及应用软件监察,以改善保安防御机制。此外,亦要定期评估网络和系统的保安,持续监察所有连接到互联网的设备配置。

现时有不少企业已转型至混合工作模式,早前HKCERT公布全球的勒索软件攻击有所增加,新一波攻击相信是利用遥距存取工具和网路储存装置(Network Attached Storage, NAS)中的漏洞作为主要的入侵缺口。因此,企业在转型期间要注意网络安全,包括及时更新资讯科技系统、留意供应商的官网、定期更改设备的管理员和用户密码及使用多重身份验证、建立数据离綫备份及定期进行数据復原测试,并定时更新已终止支援服务的软硬件产品。

如果你是企业的管理人员,应加强对第三方供应商及应用软件监察。如果你是企业的管理人员,应加强对第三方供应商及应用软件监察。

五、你有否进行网上购物/使用网上银行?

相信这一点,大部分人包括笔者在内都无法避免。随着数码化融入经济及生活每一环,网络攻击将会变得更具针对性及有组织。无论是企业还是个人,都会容易成为具规模攻击的对象,举例说,多重勒索软件出现,以及针对常用服务如网上购物、电子银行等钓鱼攻击将成常态。笔者建议,切勿任意点击或打开来歷不明的电邮、短讯或社交媒体内的超连结或附件。另外,用户更要避免使用公共Wi-Fi进行网上交易,不要在网上(例如:购物平台)储存信用卡资料。同时,用户也可以善用信用卡双重认证服务及设定网上交易限额,保障自己。

多重勒索软件以及针对常用服务如网上购物、电子银行等钓鱼攻击将成常态。多重勒索软件以及针对常用服务如网上购物、电子银行等钓鱼攻击将成常态。

正因网络世界一日千里,资讯保安新威胁渐趋复杂及多元化。无论个人或企业,均需要保持警惕及防范意识,定期吸收新的网路安全资讯,例如HKCERT的免费资讯,并提升应对能力,才能尽情且安心享受网络虚拟世界带来的方便和好处。

撰文:陈仲文 香港生产力促进局数码转型部总经理兼HKCERT发言人

紧贴我们