企业低估网络钓鱼事故风险,HKCERT揭露网络攻击现况,剖析五大信息安全趋势
企业低估网络钓鱼事故风险,HKCERT揭露网络攻击现况,剖析五大信息安全趋势
随着生成式AI等前沿人工智能科技在全球范围内掀起热潮,为企业带来额外效益的同时,也伴随着新的网络安全威胁。近期,有黑客利用"深度伪造"技术假扮跨国公司高管,通过多人视频会议诈骗香港分行财务人员,成功骗取两亿港元。香港生产力促进局数码转型部总经理兼香港电脑保安事故协调中心(HKCERT)发言人陈仲文(Alex)在接受采访时表示,当前网络攻击威胁日益复杂,黑客不仅能够利用AI技术实施犯罪,就连简单的网络钓鱼诈骗也不再局限于电子邮件形式,手法层出不穷且真假难辨。他强调企业和市民应加强对网络安全信息的认识,提高应对网络风险的能力。
香港生产力促进局数码转型部总经理兼香港电脑保安事故协调中心(HKCERT)发言人陈仲文(Alex)
网络钓鱼低成本高效益,手法层出不穷
相信大家都有收到过诈骗短信,假冒朋友借钱;或是接到不明来电,冒充政府部门或银行索要个人信息甚至要求转账?Alex指出,网络钓鱼攻击通常指不法分子通过发送短信、电子邮件、语音信息、二维码等方式诱骗受害者上当。与黑客入侵企业系统相比,发起网络钓鱼诈骗的门槛很低,"暗网(Dark Web)已有俗称‘钓鱼工具包’的套件供网络罪犯下载,使得不懂高深电脑编程技术的人都能轻松作案。"他解释说,近年来网络钓鱼诈骗手法已趋向多元化,如通过模仿电信商、连锁零售商店的会员奖励计划、网上支付服务商、政府部门等机构的电子邮件或短信,声称收件人的账户有异常,需要核实账户信息,真假难辨,防不胜防。"有些不法分子甚至通过在搜索引擎购买广告,使假冒网站在搜索结果中置顶,或是在社交平台以赞助帖子的方式,诱骗用户点击链接进入假网站,留下账户登录凭证、信用卡资料、个人资料等。"Alex认为大众往往低估网络钓鱼事故的杀伤力,最可怕的是企业客户资料一旦被盗取,可能严重影响商誉,严重时甚至可能导致公司倒闭。
HKCERT:网络钓鱼个案占去年整体处理保安事故近半
在香港,网络钓鱼情况日益严重。Alex引用HKCERT的调查数据指出,该中心在2023年共处理7,752宗安全事件,其中网络钓鱼案件达3,752宗,占整体案件近一半(48%),数量较2022年上升27%,增幅创五年新高。与网络钓鱼相关的链接更是突破19,000条,同比增长22%,四年间数量翻倍。网络钓鱼案件遍布各行各业,银行业、金融和电子支付行业首当其冲,其次是电子商务、科技企业和加密货币交易,以及公共服务。分布式拒绝服务(DDoS)攻击,通过流量攻击瘫痪企业系统,同样给业界带来威胁。Alex认为企业可能存在误解,以为网络攻击必定是入侵企业网络关键基础设施,"其实做网购的,被DDoS攻击导致‘死网’;或是误中网络钓鱼,被植入木马程序或病毒后,黑客在时机成熟时才‘引爆’,这些情况都相当棘手。"
香港电脑保安事故协调中心早前举行简报会,总结2023年香港资讯保安状况并预测2024年五大资讯保安风险。
AI是一把双刃剑,五大保安风险今年必须留意
生成式AI的兴起,同时也带来了"暗黑版本"的威胁,黑客可以利用AI编写入侵程序或病毒。Alex在总结未来五大安全风险时,特别提醒大家警惕AI这把双刃剑:
AI武器化:AI能够编写程序,降低了成为黑客的技术门槛。黑客可以利用生成式AI下达指令,产生恶意代码,主导大规模的网络攻击;黑客还可以运用AI产生欺诈数据,影响其他AI的输出,瘫痪网络安全措施。
Deepfake钓鱼攻击:黑客更常利用Deepfake技术假冒身份,甚至在社交平台设置假冒品牌专页,骗取受害者的信任,进而骗取钱财。黑客通过搜索引擎的优化功能,使钓鱼网站位列搜索结果前列,混淆视听,诱使受害者错误地登入假冒网站。
Alex示范黑客如何利用Deepfake技术假冒身份,以假乱真。
网络犯罪组织化"犯罪即服务":2023年全球勒索软件攻击和漏洞数量再创新高,黑客行动更精细,分工更明确,出现分包式的"犯罪即服务(CaaS)"模式,而且瞄准零日漏洞的时机发动攻击,增加执法难度。
IoT物联网攻击:新型电子产品大多具备网络连接功能。这些产品的网络安全标准不一,容易被入侵和恶意操控。甚至有部分产品无法修复安全漏洞,难以防范网络攻击。
使用第三方服务的风险:近年来企业纷纷进行数字化转型,使用第三方服务供应商提供的商业IT服务、云端托管、数据或系统转移服务等,从而衍生IT供应链攻击及企业内部网络安全风险,导致数据泄露、勒索软件攻击等。
Alex认为黑客的攻击技术发展速度超过企业提升安全等级的速度。"AI驱动的威胁具有适应性,可以即时分析防御并重新调整策略,这给传统的网络安全预防措施带来了挑战。企业和个人用户应该随时做好被黑客攻击的准备。当企业选用具备连接其他设备或互联网功能的电子设备及第三方服务时,可参考国际安全标准,制定安全策略及预防措施,以降低连接网络后可能面临的风险。"有研究更指出生成式AI的广泛应用可能会产生错误的信息,"例如含有安全漏洞的代码或不实信息,如果企业未经核实就直接采用,将为其业务带来风险。"
HKCERT积极透过不同方式,提升企业及公眾的網絡安全意識。
HKCERT多管齐下,为中小企及公众指點迷津
面对日益多变的网络环境,Alex强调HKCERT会采取多管齐下的方式,提升企业和公众的网络安全意识。在事故应对方面,HKCERT特别编制了《中小企保安事故应变指南》,帮助中小企及其他机构以有限的资源来维持和增强系统防御,减低受网络事故影响的业务和经济损失,以及防止和减少类似的网络攻击再次发生。HKCERT还提供免费的"评估你的网络安全状况"线上自我评估工具,会根据用户回答计算出网络安全评分,并提供最合适的建议,以及来自HKCERT或其他安全机构的实际操作指南。
此外,HKCERT也会为公众提供解决网络安全事故的方法及意见,主动分析网络安全漏洞,提供实务指引。在预防事故方面,HKCERT会定期与网络供应商、执法机构及不同国家或地区的电脑保安事故协调中心合作,共同清除可疑网站。在公众教育方面,HKCERT参与策划政府资讯科技总监办公室举办的"网络安全宣传周"活动。以去年为例,为期半年的"网络钓鱼 全城防御"流动宣传车到访港九新界共十处停泊点,包括商业区及人流热点等,公众可免费到场参观了解,通过互动游戏摊位,加深网络安全认知。他又预告今年HKCERT会通过电车进行宣传,并会出版网络安全刊物,提醒公众关注新兴网络安全风险。
HKCERT流动宣传车走訪港九新界,於鬧市向公眾宣傳網絡安全相關知識。
公众可以追踪及订阅HKCERT的Facebook和LinkedIn专页,接收最新网络安全资讯。
本文原文来自香港生产力促进局