香港電腦保安事故協調中心總結2023年香港資訊保安狀況並發布2024年資訊保安預測。人工智能等新興科技能為企業帶來額外效益,但隨新興科技發展而來的網絡攻擊陸續浮現,網絡威脅日趨複雜,企業和市民應多加認識網絡保安資訊,提高應對網絡風險的能力。
網絡釣魚個案上升27%創5年高
HKCERT在2023年共處理 7,752 宗保安事故,其中網絡釣魚更佔整體個案接近一半(3,752宗,佔48%),對比2022年上升27%,按年錄得雙位數增加,數字創五年新高。與網絡釣魚相關的連結更突破19,000條,同樣錄得雙位數增加,按年增加22%,數目四年內增加超過一倍。而網絡釣魚主要集中銀行、金融及電子支付行業,其次是電子商貿。
網絡釣魚詐騙仿真程度與日俱增
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文先生說:「隨著人工智能的應用,黑客的行動速度可能比網絡安全行業發展得更快。同時,生成式人工智能等工具的出現亦令網絡攻擊顯著增加,尤其是網絡釣魚詐騙,其仿真程度與日俱增,使得受害用戶幾乎無法區分真假。同時,人工智能驅動的威脅具有適應性,可以即時分析防禦並重新調整策略,這對傳統的網絡保安預防措施帶來了挑戰。企業及個人用戶應該做好隨時被黑客攻擊的準備。當企業選用具備連接其他設備或互聯網功能的電子設備及第三方服務時,可參考國際保安標準,制訂保安策略及預防措施,以減低連接網絡後須面對的風險。」
2024 年必須留意的五大保安風險
人工智能「武器化」:
人工智能懂得編寫程式,降低了成為黑客的技術門檻。例如,黑客可利用生成式人工智能下達指令,產生惡意程式碼,主導大規模的網絡攻擊。此外,黑客亦可以運用人工智能產生欺詐數據,影響其他人工智能的輸出,癱瘓網絡保安措施。黑客亦會使用人工智能生成虛假影片,以便進行勒索或騙取利益。
新一代釣魚攻擊:
黑客除了以電郵、短訊等傳統方式作釣魚攻擊,亦會利用AI Deepfake技術製作虛假影片假冒身分,甚至於社交平台設置假冒品牌專頁,騙取受害人的信任,從而騙取金錢。同時,黑客利用搜尋引擎的優化功能,令釣魚網站位列搜尋結果前列,混淆視聽,令搜尋引擎使用者容易錯誤地登入假冒網站,欺騙更多受害者。
網絡犯罪趨向組織化:
2023年,香港出現多宗針對企業的勒索軟件攻擊,被勒索大額金錢及公開敏感資料。而市民則面對「毒App」和網絡釣魚的威脅。宏觀全球,2023年的勒索軟件攻擊及漏洞數量再創新高,都顯示此等有組織及系統的網絡犯罪日趨嚴重。
針對智能設備的攻擊:
新式的電子產品大多具備網絡連接功能,可連接其他產品或互聯網。這些產品的網絡安全標準不一,容易被入侵和惡意操控。部分產品無法修補保安漏洞,難以堵截網絡攻擊。
使用第三方服務的風險:
大多企業都會使用其他公司提供的IT服務,如軟件、IT人員等等,從而衍生IT供應鏈攻擊及公司內部網絡安全風險,引致數據洩漏、勒索軟件攻擊等後果。此外,研究指出,生成式人工智能或會產生錯誤的訊息,例如有保安漏洞的程式碼或不實資訊,如企業未經核實就直接採用,則為其業務帶來負面風險。
不法分子開始使用新型網絡釣魚
針對以上五大資訊保安威脅,陳仲文先生呼籲社會各界加強資訊保安意識,他補充:「人工智能相信會陸續在各行各業應用,但在應用前應先理解及平衡其網絡安全風險。另外,要注意不法分子開始使用新型網絡釣魚,例如利用人工智能製作釣魚內容、在社交平台偽冒專頁及利用搜尋引擎優化功能協助網絡釣魚等。與此同時要提防日趨嚴重的網絡犯罪活動。」
「網絡安全宣傳周」
面對日益多變的網絡環境,HKCERT 會繼續多管齊下,提升公眾對網絡安全的意識,保障網絡安全。在事故應變方面,HKCERT 會為公眾提供解決網絡保安事故的方法及意見,更會主動分析網絡安全漏洞,提供實務指引。在預防事故方面,HKCERT 會主動出擊,與網絡供應商及不同國家的電腦保安事故協調中心合作,一同清除可疑網站。至於公眾教育方面,HKCERT將與政府資訊科技總監辦公室協辦「網絡安全宣傳周」,擺設互動攤位及電車宣傳,並會出版網絡安全刊物,提醒公眾關注新興網絡風險。
更多網絡安全相關內容
網絡安全|環聯推暗網監察服務:3大功能保障消費者身份!免費30天試用
