资讯保安随笔 - 「一click顿成千古恨」　以下高危网络活动你中几多样？

大家有没有发现愈来愈多名人及明星的社交网站，转为採用NFT头像？随着元宇宙的建立及大力推广，市场憧憬加密货币（Cryptocurrency）将普及应用，拥有升值潜力，因此愈来愈多人参与NFT加密艺术市场。然而，NFT是高风险的产品，投资者不仅要面对市场风险，更需要留意虚拟世界的新技术，往往存在许多未知风险，容易成为黑客窃取他人财产及资料的温床。若我们掉以轻心，随时「一click顿失过千万」。笔者用以下五条问题，让你了解自己是否正面对高危网络风险！

一、你是否正进行加密资产（例如NFT）交易？

近年加密货币广受全球金融及IT界关注，加密货币及交易平台成为不法分子的攻击目标，从加密货币交易和储存两方面入手，盗取用户敏感资料，进入帐户转走货币，或作其他恶意用途。最近有某大型NFT网上交易平台的用户误中钓鱼攻击陷阱，被盗取超过170万美元（约1,326万港元）。事缘该NFT网上交易平台曾经以保安理由，要求用户将出售中的NFT升级至新的智能合约，有黑客遂伪冒该平台团队，藉着「提醒用户」，发送包含恶意网站连结的钓鱼邮件，该假网站藏有交易条款，要求用户签署授权执行。有用户信以为真，不慎点击授权，令巨额NFT资产被转走。

香港生产力促进局（生产力局）辖下的香港电脑保安事故协调中心（HKCERT）早前已发出警告，唿吁用户要加倍提防日益猖獗的网络钓鱼攻击。笔者建议，NFT用户收到热钱包（Hot Wallet）的请求时，应仔细查看请求的内容，如有任何疑问，应拒绝该请求，并进一步审查。同时，也应定期检视自己的NFT授权，并撤销过去有问题或不确定用途的授权，并切勿向任何人披露加密货币钱包的恢復短语（Recovery Phrase）。

然而，即使个人提高警惕，这些资产交易平台本身或因设计缺憾、用户未有设定双重验证方式登入及保安检查不足等而出现保安漏洞，成为黑客攻撃的目标。黑客或会上载包含恶意程序码NFT等，造成恶意交易而令用户资产被盗、帐户被控制或NFT被低价交易等情况。

另外一点需要注意的是，在交易NFT产品时，用户也要留意NFT的版权问题。由于现时各国对NFT买卖缺乏监管，有机会出现任意抄袭NFT的情况；加上NFT平台设置在外国，NFT拥有人的权利并不清晰及难以追究，或会令购入侵权项目的用户蒙受损失。一旦购入的是抄袭别人的NFT作品，也令NFT价值降低。

早前有用户因为钓鱼邮件，被骗走超过170万美元的巨额NFT资产。

二、你是否正参与元宇宙或新兴平台Discord的活动？

NFT及元宇宙（Metaverse）涉及新型虚拟资产储存、交易及大量数据往来，当中亦包含虚拟世界中不同用户的活动资讯，因此相关的资讯保安将备受更大关注。笔者预测，元宇宙及加密货币相关技术将会是今年黑客的重点攻击目标之一，黑客或会模仿NFT平台的推广手法，以免费名义发放假的资产，盗用用户的帐户或敏感资料，甚至盗用元宇宙的「虚拟化身」。笔者建议，用户在签署任何交易前，应小心核实所有资料，如有不明的资料，应提高警觉及向官方机构查证。

近期，有不少NFT卖家会在Discord平台宣传，用户应该要小心查证与官方公开资料不同的讯息，同时也要小心检查网站连结，例如与官方网址比对有没有可疑之处。如用户发现平台上的NFT价值与官方公佈的不同，应提高警觉。笔者建议用户可以设置临时钱包，只储存适量加密币作交易用。至于平台管理员，则要启用双重认证，设定各个管理人员的权限，并审视管理工具权限。

元宇宙及加密货币相关技术将会是今年黑客的重点攻击目标之一。

三、你有否使用新兴科技（例如：物联网、人工智能、二维码、5G等）？

随着愈来愈多新科技普及应用，其潜在保安漏洞，以及黑客发动的网络攻击将会趋向多元化。举例说，用户缺乏对敏感资料的安全保护意识，利用物联网存取未有加密的资料；黑客利用人工智能制作虚假身份或盗用身份进行欺诈；另外，黑客利用二维码（QR code）散播钓鱼网站，或骑劫攻击以QR code登入的帐户等，都值得你密切提防！

物联网、人工智能、二维码等新兴科技潜在保安漏洞。

四、你有否採用第三方服务供应商提供的服务？

随着疫情进一步加快供应链互连和数码化，将会有更多黑客透过攻击第三方服务供应商，以入侵最终目标机构的供应链。这种供应链攻击主要利用企业对合作伙伴的信任，避开保安防御。笔者建议，如果你是企业的管理人员，应加强对第三方供应商及应用软件监察，以改善保安防御机制。此外，亦要定期评估网络和系统的保安，持续监察所有连接到互联网的设备配置。

现时有不少企业已转型至混合工作模式，早前HKCERT公布全球的勒索软件攻击有所增加，新一波攻击相信是利用遥距存取工具和网路储存装置（Network Attached Storage, NAS）中的漏洞作为主要的入侵缺口。因此，企业在转型期间要注意网络安全，包括及时更新资讯科技系统、留意供应商的官网、定期更改设备的管理员和用户密码及使用多重身份验证、建立数据离綫备份及定期进行数据復原测试，并定时更新已终止支援服务的软硬件产品。

如果你是企业的管理人员，应加强对第三方供应商及应用软件监察。

五、你有否进行网上购物／使用网上银行？

相信这一点，大部分人包括笔者在内都无法避免。随着数码化融入经济及生活每一环，网络攻击将会变得更具针对性及有组织。无论是企业还是个人，都会容易成为具规模攻击的对象，举例说，多重勒索软件出现，以及针对常用服务如网上购物、电子银行等钓鱼攻击将成常态。笔者建议，切勿任意点击或打开来歷不明的电邮、短讯或社交媒体内的超连结或附件。另外，用户更要避免使用公共Wi-Fi进行网上交易，不要在网上（例如：购物平台）储存信用卡资料。同时，用户也可以善用信用卡双重认证服务及设定网上交易限额，保障自己。

多重勒索软件以及针对常用服务如网上购物、电子银行等钓鱼攻击将成常态。

正因网络世界一日千里，资讯保安新威胁渐趋复杂及多元化。无论个人或企业，均需要保持警惕及防范意识，定期吸收新的网路安全资讯，例如HKCERT的免费资讯，并提升应对能力，才能尽情且安心享受网络虚拟世界带来的方便和好处。

撰文：陈仲文 香港生产力促进局数码转型部总经理兼HKCERT发言人