正所謂:「你有張良計,我有過牆梯。」生成式AI等前沿人工智能科技應用熱潮席捲全球,雖為企業帶來額外效益,但伴隨新興科技發展而來的網絡攻擊卻接連出現,早前更有黑客透過「深偽技術」Deepfake假扮跨國公司高管,與香港分行財務職員進行多人視像會議,藉此騙去兩億港元。香港生產力促進局數碼轉型部總經理兼香港電腦保安事故協調中心(HKCERT)發言人陳仲文Alex接受專訪時表示:「現時網絡攻擊威脅日趨複雜,黑客除了懂得挪用AI科技犯案外,簡單如網絡釣魚詐騙亦不再局限於電郵形式,手法層出不窮且真假難辨。」他強調企業和市民應多加認識網絡保安資訊,提高應對網絡風險的能力。
香港生產力促進局數碼轉型部總經理兼香港電腦保安事故協調中心(HKCERT)發言人陳仲文Alex。
網絡釣魚低成本高效益 手法層出不窮
相信大家都有收取過詐騙短訊,假扮朋友向你借錢;或是接到不明來電,冒認政府部門或銀行藉詞要索取你的個人資料甚至要求轉帳?Alex指出網絡釣魚(Phishing Attack)攻擊泛指不法分子透過發放短訊、電郵、語音訊息、二維碼等作餌,誘騙受害人上當。相比黑客駭入企業系統犯罪,他表示現在發動網絡釣魚詐騙的門檻很低,「暗網(Dark Web)已有俗稱『fishing kit』的套件供網絡罪犯下載,令不懂高深電腦編程技術的人都能輕鬆犯案。」他解釋網絡釣魚詐騙手法近年已轉趨多元化,如以漁翁撒網方式發放偽裝由電訊商、連鎖零售商店的會員奬賞計劃、網上支付服務商、政府部門等機構的電郵或短訊,聲稱收訊人的帳戶有異常,急須核實帳戶,真假難辨,叫人防不勝防。「有不法分子甚至為冒充網站,於搜尋引擎賣廣告務求於頁面置頂,或是在社交平台以贊助帖子方式,誘騙大家點擊連結進入假網站,留下帳戶登入憑證、信用卡資料、個人資料等。」Alex認為大眾往往低估網絡釣魚事故的殺傷力,最可怕的是一旦企業的客戶資料被盜取,隨時影響商譽,嚴重的話更可能招致公司倒閉。
HKCERT:網絡釣魚個案佔去年整體處理保安事故近半
在香港,網絡釣魚情況日益嚴重。Alex引述HKCERT的調查數字,指出中心在2023年共處理7,752宗保安事故,其中網絡釣魚已佔3,752宗,佔整體個案接近一半(48%),數量對比2022年上升27%,增幅創五年新高。而與網絡釣魚相關的連結更突破19,000條,按年增加22%,數目在四年內增加逾倍。網絡釣魚個案遍布不同行業,銀行、金融及電子支付行業首當其衝,其次是電子商貿、科企與加密貨幣交易,以及公共服務。簡稱DDOS的阻斷服務攻擊,透過流量攻擊癱瘓企業系統,同樣為業界帶來威脅。Alex認為企業或有誤解,以為網絡攻擊必定是駭入企業網絡關鍵基礎設施,「其實做網購的,被DDOS攻擊到『死網』;或是誤中網絡釣魚,被植入木馬程式或病毒後,黑客在時機成熟時才『引爆』,這些情況都相當棘手。」
香港電腦保安事故協調中心早前舉行簡報會,總結2023年香港資訊保安狀況並預測2024年五大資訊保安風險。
AI是一面雙刃劍 五大保安風險今年必須留意
生成式AI大熱,與此同時黑客同樣使出一套「暗黑版本」,能夠呼喚AI編寫入侵程式或病毒,Alex於歸納未來五大保安風險時,特別呼籲大家提防AI這一面雙刃劍:
- AI「武器化」:AI懂得編寫程式,降低了成為黑客的技術門檻。如黑客可利用生成式AI下達指令,產生惡意程式碼,主導大規模的網絡攻擊;黑客亦可以運用AI產生欺詐數據,影響其他AI的輸出,癱瘓網絡保安措施。
- Deepfake釣魚攻擊:黑客更常利用Deepfake技術假冒身份,甚至於社交平台設置假冒品牌專頁,騙取受害人的信任,從而騙取金錢。黑客透過搜尋引擎的優化功能,令釣魚網站位列搜尋結果前列,混淆視聽,誘使受害人錯誤地登入假冒網站。
Alex示範黑客如何利用Deepfake技術假冒身份,以假亂真。
- 網絡犯罪組織化「犯罪即服務」:宏觀全球,2023年的勒索軟件攻擊及漏洞數量再創新高,黑客行動更細密,分工更仔細,出現分判式「犯罪即服務(CaaS)」,而且看準零日漏洞的時機發動攻擊,增加繩之以法的難度。
- IoT物聯網攻擊:新式電子產品大多具備網絡連接功能。這些產品的網絡安全標準不一,容易被入侵和惡意操控。甚至有部分產品無法修補保安漏洞,難以堵截網絡攻擊。
- 使用第三方服務的風險:近年企業紛紛數碼轉型,使用第三方服務供應商提供的商業IT服務、雲端託管、資料或系統轉移服務等,從而衍生IT供應鏈攻擊及企業內部網絡安全風險,引致數據洩漏、勒索軟件攻擊等。
Alex認為黑客的攻擊技術發展,較企業提升資安等級的速度還要快。「AI驅動的威脅具有適應性,可以即時分析防禦並重新調整策略,這對傳統的網絡保安預防措施帶來了挑戰。企業及個人用戶應該做好隨時被黑客攻擊的準備。當企業選用具備連接其他設備或互聯網功能的電子設備及第三方服務時,可參考國際保安標準,制訂保安策略及預防措施,以減低連接網絡後須面對的風險。」有研究更指出生成式AI的廣泛應用或會產生錯誤的訊息,「例如當中有保安漏洞的程式碼或不實資訊,如企業未經核實就直接採用,將為其業務帶來風險。」
HKCERT積極透過不同方式,提升企業及公眾的網絡安全意識。
HKCERT多管齊下 為中小企及公眾指點迷津
面對日益多變的網絡環境,Alex強調HKCERT會採取多管齊下的方式,提升企業以至公眾對網絡安全的意識。在事故應變方面,HKCERT特別編制了《中小企保安事故應變指南》,幫助中小企及其他機構以有限的資源來維持和增強系統防禦,減低受網絡事故影響的業務和經濟損失,以及防止和減少類似的網絡攻擊再次發生。HKCERT更提供免費的「評估你的網絡保安狀況」線上自我評估工具,會根據用戶的回答計算出網絡保安評分,並提供最適合的建議,以及來自HKCERT或其他保安機構的實際操作指南。
此外,HKCERT也會為公眾提供解決網絡保安事故的方法及意見,主動分析網絡安全漏洞,提供實務指引。在預防事故方面,HKCERT更會主動出擊,定期與網絡供應商、執法機構及不同國家或地區的電腦保安事故協調中心合作,共同清除可疑網站。「公眾教育方面,HKCERT參與策劃政府資訊科技總監辦公室舉辦的『網絡安全宣傳周』活動。以去年為例,為期半年的『網絡釣魚 全城防禦』流動宣傳車到訪港九新界共十個停泊點,包括商業區及人流熱點等,公眾可免費到場參觀了解,並透過互動遊戲攤位,加深網絡安全認知。」他又預告今年HKCERT會通過電車進行宣傳,並會出版網絡安全刊物,提醒公眾關注新興網絡風險。
HKCERT流動宣傳車走訪港九新界,於鬧市向公眾宣傳網絡安全相關知識。