【網絡安全】香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)日前在其年度資訊保安展望簡布會提醒社會各界,今年要留意五大資訊保安風險,包括身份/憑證盜用、利用人工智能(AI)的攻擊、網絡犯罪服務(Crime-as-a-Service)、針對Web 3.0 的攻擊及物聯網(Internet of Things, IoT)廣泛應用引發的攻擊。
資訊保安風險(1)身份/憑證盜用
日常生活上,大家都會登入不同的電子平台,從網購平台、網上銀行,以至工作及私人的電郵系統。平台都需要驗證用戶身份,近年提倡的多重要素驗證(Multi-factor authentication, MFA)便是目前其中一種較為安全的方法,但黑客仍然有技術盜取大家的身份,以下有五種常用手法:
「中間人網絡釣魚」
黑客架設釣魚網站作為一個代理,在中間代理受害人與官方網站進行雙重認証。成功驗證後,會把受害人載入官方網站繼續使用服務,但其實黑客已經在背後偷取受害人的 Session Cookie。手法厲害之處,是受害人根本不會知道自己已經中招。
「MFA 疲勞攻擊」
黑客會在短時間內發出大量 MFA 授權請求轟炸受害人,務求令受害人誤按同意授權。另一邊廂,黑客得到受害人授權後就可以登入受害人帳戶。
「偽裝廣告」
黑客在搜尋平台上賣廣告,令自己的假網站可以在搜尋結果的頭數位,甚至前於被冒充品牌的官方網站,受害人一不留神就登入這些假網站。
「OAuth釣魚攻擊」
受害人不知就裏授予權限給惡意程式,令惡意程式可以存取到用戶的資料。
利用社交工程,如近期虛擬銀行騙案,犯案者利用朋友關係,成功記錄受害人容貌及身分證等個人訊息來開戶借貸。
資訊保安風險(2)利用AI的攻擊
AI在去年初,大家或覺得仍然好遙遠,十劃都未有一撇。但去到今年,人人都熱烈討論著AI聊天機器人ChatGPT,大家是否依然認為AI跟各位沒有關係?
有黑客在ChatGPT推出初期已懂得利用ChatGPT編寫惡意程式。同時,大家亦要注意AI回覆的真確性、偏見及版權問題,所以凡事都要進行事實查核(Fact Check)。
模仿已故著名歌手貓王擬真似假
另外,大家還要留意人工智能欺詐,一間名為Metaphysic的人工智能初創公司在美國受歡迎才藝表演真人騷《全美一叮》(America‘s Got Talent)展示即時DeepFake技術,現場模仿已故著名歌手貓王Elvis Presley,擬真似假,可見DeepFake技術已經發展得好成熟。美國聯邦調查局在去年6月就發出警告,有不法分子利用DeepFake去應徵遙距工作,獲聘後利用所得權限接觸敏感資料。
資訊保安風險(3)網絡犯罪服務(Crime-as-a-Service)
現在有不少網絡罪犯都會通過出售或者出租他們工具來圖利,讓整個網絡犯罪更加商業化、工業化,大大降低技術門檻。普通人只需要購買或租用工具,或者購買大量個人資料來發動網絡攻擊,而且購買或者租用這些工具都好便宜,例如勒索軟件低至100美元都有交易,使這種網絡犯罪服務模式日趨普遍,人人都可以做黑客,對企業及大眾都構成很大威脅。
資訊保安風險(4)針對Web 3.0 的攻擊
2022年加密貨幣熱潮,HKCERT就觀察到有一系列針對Android及iOS手機加密貨幣錢包應用程式(App)的惡意活動出現,透過複製加密貨幣錢包的官方網站建立欺詐網站,然後利用搜索引擎優化(Search Engine Optimisation, SEO)提高欺詐網站的搜尋引擎排名,誘使用戶直接於欺詐網站下載虛假加密貨幣錢包App,從而偷取用戶加密貨幣錢包的助記詞及轉走用戶的加密貨幣。
假扮加密貨幣交易所發送「網絡釣魚」短訊
另外,有黑客假扮加密貨幣交易所發送「網絡釣魚」短訊(SMS),指根據加密管理局條例的規定,需要用戶登入更新帳戶並開通Wallet Direct功能,來確保可以正常使用帳戶。用戶按入SMS內的連結後,就會被導引至假的加密貨幣交易所網頁,頁面會騙用戶輸入登入資料。
除了加密貨幣外,非同質化代幣(Non-Fungible Token, NFT)及元宇宙都與Web 3.0息息相關。就NFT來說,黑客會試圖盜取或入侵NFT賬戶,又或者模仿NFT平台推廣手法,以免費名義發放假NFT資產,籍此誘騙受害人提供敏感資料。而元宇宙就涉及的保安問題,大多與虛假身份及數據泄露相關。
對Smart Contract的保安存在誤解
另外,一個不可不提的Web3.0技術是區塊鏈(Blockchain),據統計涉及Blockchain和智能合約(Smart Contract)的損失高達200億美金。許多人對Smart Contract的保安都存在誤解,例如Blockchain 上其實有很多惡意 Smart Contract,以及Smart Contract即使已經放入Blockchain內亦可以被更改的。
資訊保安風險(5)IoT廣泛應用引發的攻擊
大家的手機、手錶、智能家居都是IoT設備。根據一項數據,只要智能設備一連接互聯網,5分鐘內就會受到黑客的攻擊。黑客主要偷取IoT設備的登入帳戶,又或者利用軟件的漏洞操控IoT設備。其實IoT應用於許多工業營運技術(Operational Technology, OT)設備上,可以涉及各類大型基礎建設,例如水、電、煤、交通、物流等,一旦受到攻擊,將會影響大量公眾,所以絕對不能忽視IoT保安問題。
連汽車都可以被黑客遙距操控
HKCERT早前便夥拍香港理工大學(理工)以無人機作為例子,一同探討IoT設備的網絡安全,並製作了一條示範短片,證明這類設備如果沒有做好保安措施,隨時會被”劫機“。由IoT設備構成的保安隱患問題還有另一個催化劑,就是現在很多IoT設備都可以用手機 App 遙距操控,黑客如果可以掌握當中的通訊方式及破解認證方法,就可以自製另一個 App 來控制這些設備。這些並不是紙上談兵,因為理工的研究團隊已經做到這些示範,連汽車都可以被黑客植入惡意程式來遙距操控。
