香港電腦保安事故協調中心(HKCERT)今日(1日)總結2023年香港資訊保安狀況並發布2024年保安預測。中心去年共處理7752宗保安事故,其中網絡釣魚佔整體個案接近一半,比前年上升27%,創五年新高。網絡釣魚相關的連結更突破1.9萬條,按年增加22%,在四年內增加超過一倍。網絡釣魚主要集中銀行、金融及電子支付行業,其次是電子商貿。中心又指,人工智能可以編寫程式,降低了成為黑客的技術門檻,騙徒亦會利用人工智能的深偽技術(Deepfake)製作虛假影片假冒身份「換臉」行騙,提醒市民盡量減少在社交網絡分享個人身份特徵。
HKCERT在2023年共處理7752宗保安事故,其中網絡釣魚更佔整體個案接近一半(48%),數字創五年新高。與網絡約魚相關的連結更突破19000條,4年內增加超過一倍,主要集中在銀行、金融及電子支付行業,其次是電子商貿。
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文說:「隨着人工智能的應用,黑客的行動速度可能比網絡安全行案發展得更快,生成式人工智能等工具的出現亦令網絡攻擊尤其是釣魚詐騙顯著增加。」
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文。
專業資訊保安協會副主席兼HKCERT關鍵基礎設施網絡保安通報計劃小組代表黃詩銘說:「近年勒索軟件攻擊越趨嚴重,黑客團夥會主動尋找機構的網絡弱點,趁機入侵後竊取資料並將原檔案加密,然後要求贖金,否則(撕票)公開機密資訊。」
中心預測2024年主要有五大資訊保安風險。第一是黑客利用生成式人工智能編寫程式並下達指令,產生惡意程式碼,主導大規模的網絡攻擊;亦可以運用人工智能產生欺詐數據,癱瘓網絡保安措施。黑客亦會使用人工智能生成虛假影片,以便進行勒索或騙取利益。
專業資訊保安協會副主席兼HKCERT關鍵基礎設施網絡保安通報計劃小組代表黃詩銘。
第二是,黑客利用AI Deepfake技術製作虛假影片假冒身份,甚至於社交平台設置假冒品牌專頁,騙取受害人的信任,從而騙取金錢。同時,黑客利用搜尋引擎的優化功能,令釣魚網站位列搜尋結果前列,混淆視聽,令搜尋引擎使用者容易錯誤地登人假冒網站,欺騙更多受害者。
第三是,網絡犯罪趨向組織化,去年香港出現多宗針對企業的勒索軟件攻擊;而市民則面對「毒App」和網絡釣魚的威脅。
第四是,電子產品的網絡安全標準不一,部分小品牌沒有提供軟件更新,令裝置容易被入侵。
第五是,愈來愈多大多企業使用第三方提供的IT服務,如軟件、IT人員等,衍生IT供應鏈攻擊及公司內部網絡安全風險。
中心呼籲市民定期檢查及更新網絡及系統的保安,盡量減少於社交平台分享個人生物特徵,以免黑客盜取。(記者:李銘欣 實習記者:邱之璘 攝影:蔡啟文)
頂圖:生產力局數碼轉型部總經理兼HKCERT發言人陳仲文(左),專業資訊保安協會副主席兼HKCERT關鍵基礎設施網絡保安通報計劃小組代表黃詩銘(右)。