企业低估网络钓鱼事故风险 HKCERT揭露网络攻击现况 剖析五大资讯保安趋势

正所谓：「你有张良计，我有过墙梯。」生成式AI等前沿人工智能科技应用热潮席卷全球，虽为企业带来额外效益，但伴随新兴科技发展而来的网络攻击却接连出现，早前更有黑客透过「深伪技术」Deepfake假扮跨国公司高管，与香港分行财务职员进行多人视像会议，借此骗去两亿港元。香港生产力促进局数码转型部总经理兼香港电脑保安事故协调中心(HKCERT)发言人陈仲文Alex接受专访时表示：「现时网络攻击威胁日趋复杂，黑客除了懂得挪用AI科技犯案外，简单如网络钓鱼诈骗亦不再局限于电邮形式，手法层出不穷且真假难辨。」他强调企业和市民应多加认识网络保安资讯，提高应对网络风险的能力。

香港生产力促进局数码转型部总经理兼香港电脑保安事故协调中心(HKCERT)发言人陈仲文Alex。

网络钓鱼低成本高效益 手法层出不穷

相信大家都有收取过诈骗短讯，假扮朋友向你借钱；或是接到不明来电，冒认政府部门或银行藉词要索取你的个人资料甚至要求转帐？Alex指出网络钓鱼(Phishing Attack)攻击泛指不法分子透过发放短讯、电邮、语音讯息、二维码等作饵，诱骗受害人上当。相比黑客骇入企业系统犯罪，他表示现在发动网络钓鱼诈骗的门槛很低，「暗网(Dark Web)已有俗称『fishing kit』的套件供网络罪犯下载，令不懂高深电脑编程技术的人都能轻松犯案。」他解释网络钓鱼诈骗手法近年已转趋多元化，如以渔翁撒网方式发放伪装由电讯商、连锁零售商店的会员奖赏计划、网上支付服务商、政府部门等机构的电邮或短讯，声称收讯人的帐户有异常，急须核实帐户，真假难辨，叫人防不胜防。「有不法分子甚至为冒充网站，于搜寻引擎卖广告务求于页面置顶，或是在社交平台以赞助帖子方式，诱骗大家点击连结进入假网站，留下帐户登入凭证、信用卡资料、个人资料等。」Alex认为大众往往低估网络钓鱼事故的杀伤力，最可怕的是一旦企业的客户资料被盗取，随时影响商誉，严重的话更可能招致公司倒闭。

HKCERT：网络钓鱼个案占去年整体处理保安事故近半

在香港，网络钓鱼情况日益严重。Alex引述HKCERT的调查数字，指出中心在2023年共处理7,752宗保安事故，其中网络钓鱼已占3,752宗，占整体个案接近一半(48%)，数量对比2022年上升27%，增幅创五年新高。而与网络钓鱼相关的连结更突破19,000条，按年增加22%，数目在四年内增加逾倍。网络钓鱼个案遍布不同行业，银行、金融及电子支付行业首当其冲，其次是电子商贸、科企与加密货币交易，以及公共服务。简称DDOS的阻断服务攻击，透过流量攻击瘫痪企业系统，同样为业界带来威胁。Alex认为企业或有误解，以为网络攻击必定是骇入企业网络关键基础设施，「其实做网购的，被DDOS攻击到『死网』；或是误中网络钓鱼，被植入木马程式或病毒后，黑客在时机成熟时才『引爆』，这些情况都相当棘手。」

香港电脑保安事故协调中心早前举行简报会，总结2023年香港资讯保安状况并预测2024年五大资讯保安风险。

AI是一面双刃剑 五大保安风险今年必须留意

生成式AI大热，与此同时黑客同样使出一套「暗黑版本」，能够呼唤AI编写入侵程式或病毒，Alex于归纳未来五大保安风险时，特别呼吁大家提防AI这一面双刃剑：

• AI「武器化」：AI懂得编写程式，降低了成为黑客的技术门槛。如黑客可利用生成式AI下达指令，产生恶意程式码，主导大规模的网络攻击；黑客亦可以运用AI产生欺诈数据，影响其他AI的输出，瘫痪网络保安措施。
• Deepfake钓鱼攻击：黑客更常利用Deepfake技术假冒身份，甚至于社交平台设置假冒品牌专页，骗取受害人的信任，从而骗取金钱。黑客透过搜寻引擎的优化功能，令钓鱼网站位列搜寻结果前列，混淆视听，诱使受害人错误地登入假冒网站。

Alex示范黑客如何利用Deepfake技术假冒身份，以假乱真。

• 网络犯罪组织化「犯罪即服务」：宏观全球，2023年的勒索软件攻击及漏洞数量再创新高，黑客行动更细密，分工更仔细，出现分判式「犯罪即服务(CaaS)」，而且看准零日漏洞的时机发动攻击，增加绳之以法的难度。
• IoT物联网攻击：新式电子产品大多具备网络连接功能。这些产品的网络安全标准不一，容易被入侵和恶意操控。甚至有部分产品无法修补保安漏洞，难以堵截网络攻击。
• 使用第三方服务的风险：近年企业纷纷数码转型，使用第三方服务供应商提供的商业IT服务、云端託管、资料或系统转移服务等，从而衍生IT供应链攻击及企业内部网络安全风险，引致数据洩漏、勒索软件攻击等。

Alex认为黑客的攻击技术发展，较企业提升资安等级的速度还要快。「AI驱动的威胁具有适应性，可以即时分析防御并重新调整策略，这对传统的网络保安预防措施带来了挑战。企业及个人用户应该做好随时被黑客攻击的准备。当企业选用具备连接其他设备或互联网功能的电子设备及第三方服务时，可参考国际保安标准，制订保安策略及预防措施，以减低连接网络后须面对的风险。」有研究更指出生成式AI的广泛应用或会产生错误的讯息，「例如当中有保安漏洞的程式码或不实资讯，如企业未经核实就直接采用，将为其业务带来风险。」

HKCERT积极透过不同方式，提升企业及公众的网络安全意识。

HKCERT多管齐下 为中小企及公众指点迷津

面对日益多变的网络环境，Alex强调HKCERT会采取多管齐下的方式，提升企业以至公众对网络安全的意识。在事故应变方面，HKCERT特别编制了《中小企保安事故应变指南》，帮助中小企及其他机构以有限的资源来维持和增强系统防御，减低受网络事故影响的业务和经济损失，以及防止和减少类似的网络攻击再次发生。HKCERT更提供免费的「评估你的网络保安状况」线上自我评估工具，会根据用户的回答计算出网络保安评分，并提供最适合的建议，以及来自HKCERT或其他保安机构的实际操作指南。

此外，HKCERT也会为公众提供解决网络保安事故的方法及意见，主动分析网络安全漏洞，提供实务指引。在预防事故方面，HKCERT更会主动出击，定期与网络供应商、执法机构及不同国家或地区的电脑保安事故协调中心合作，共同清除可疑网站。「公众教育方面，HKCERT参与策划政府资讯科技总监办公室举办的『网络安全宣传周』活动。以去年为例，为期半年的『网络钓鱼 全城防御』流动宣传车到访港九新界共十个停泊点，包括商业区及人流热点等，公众可免费到场参观了解，并透过互动游戏摊位，加深网络安全认知。」他又预告今年HKCERT会通过电车进行宣传，并会出版网络安全刊物，提醒公众关注新兴网络风险。

HKCERT流动宣传车走访港九新界，于闹市向公众宣传网络安全相关知识。

公众可以追踪及订阅HKCERT的Facebook和LinkedIn专页，接收最新网络安全资讯。