【網絡安全/網絡釣魚/惡意軟件/AI】網絡安全問題層出不窮,香港網絡安全事故協調中心(HKCERT) 今日(20日)指,在2024年共處理12,536宗保安事故,其中網絡釣魚事故最為嚴重,佔整體個案62%(7,811宗),對比2023年上升108%,共增加4,059 宗,情況為5年來最嚴重。而2025年供應商安全性不穩及AI生成內容被騎劫等將成為香港網絡安全的主要風險。
惡意軟件數量年增4.8倍 多為木馬程式
2024年網絡釣魚及惡意軟件是本港最大的網絡安全事故,據HKCERT處理的保安事故中,與網絡釣魚相關的連結更超過48,000條。網絡釣魚主要集中在銀行、金融及電子支付行業,其次是社交媒體、即時通訊軟件、電子商貿、科技企業及公共服務。而惡意軟件的數量在2024年也顯著上升,按年增幅高達4.8倍,大部分處理的惡意軟件個案均是針對智能裝置的木馬程式,裝扮成正常的應用程式引誘用戶安裝。
不法分子用AI寫釣魚郵件 像真度更高
生產力局數碼轉型部總經理、HKCERT發言人陳仲文指,現時不少不法分子使用AI及自動化技術,撰寫釣魚電郵,成本低廉,像真度更高,是導致網絡釣魚相關的連結的急升的原因之一。
HKCERT根據自身數據及威脅情報進行研究和分析,及邀請不同行業、崗位的本地和海外網絡安全專家進行問卷調查,歸納出2025必須注意五大網絡安全風險,包括供應商、承包商或服務提供者等第三方風險上升;大型語言模型資料外洩與投毒風險;人工智能(AI)助長網絡攻擊及詐騙;關鍵基礎設施網絡攻擊增加及物聯網(IoT)技術的安全風險。
陳仲文指,物聯網裝置已涉及市民生活各個範疇,如數碼顯示屏、無人機、智能家居裝置等,建議市民在購買裝置後,定時按照廠商要求更新、盡快更改原廠設定的用戶名稱及密碼等,以防黑客攻擊。面對AI助長網絡攻擊及詐騙如Deep fake,他建議市民先打電話給對方進行核實,或使用現有的AI工具,檢視畫面及聲音會否存在AI更改。
HKCERT在去年7月至9月期間,也就物聯網數碼顯示屏網絡安全意識進行調查,以電話訪問624間企業,涵蓋多個行業,發現即使多數受訪用戶相當關注數碼顯示屏的安全,仍有39%受訪機構不會事先為顯示屏進行網絡安全風險評估以應對相關風險。
數碼顯示屏存漏洞 最快3秒取控制權
此外,HKCERT去年也對8種不同品牌的數碼顯示屏進行研究,共發現20個漏洞,其中10個屬高風險級別,急需堵塞漏洞。HKCERT更即場示範常見的物聯網攻擊,包括BadUSB攻擊、紅外線遙控攻擊等,最快只需三秒即能取得顯示屏的控制權。
HKCERT 提出六點保安建議,保障數碼顯示屏能安全運作,包括停用不需要的軟件及服務,確保程式碼庫更新,使用高強度密碼雜湊,並定期更新系統和軟件;使用加密協定(例如: HTTPS),啟用系統防火牆;停用USB自動運行和自動播放,限制實體操作介面;定期備份數據;實施審核程序,監控內容完整性;實施高強度密碼及多重認證功能,採取最小權限原則。
記者:方咏思
