解構2023年五大資訊保安風險

網絡安全

香港電腦保安事故協調中心 (HKCERT) 在其年度資訊保安展望簡布會提醒社會各界今年要留意五大資訊保安風險,包括身份/憑證盜用、利用人工智能 (AI) 的攻擊、網絡犯罪服務 (Crime-as-a-Service)、針對Web 3.0的攻擊及物聯網 (IoT) 廣泛應用引發的攻擊,在此與大家遂一解構這些網絡威脅。

2023年五大資訊保安風險

一、身份/憑證盜用

日常生活上,大家都會登入不同的電子平台,從網購平台、網上銀行,以至工作及私人的電郵系統。平台都需要驗證用戶身份,近年提倡的多重要素驗證 (Multi-factor authentication, MFA) 便是目前其中一種較為安全的方法,但黑客仍然有技術盜取大家的身份,以下有五種常用手法:

  1. 「中間人網絡釣魚」- 黑客架設釣魚網站作為一個代理,在中間代理受害人與官方網站進行雙重認証。成功驗證後,會把受害人載入官方網站繼續使用服務,但其實黑客已經在背後偷取受害人的Session Cookie。手法厲害之處,是受害人根本不會知道自己已經中招。
  2. 「MFA 疲勞攻擊」- 黑客會在短時間內發出大量 MFA 授權請求轟炸受害人,務求令受害人誤按同意授權。另一邊廂,黑客得到受害人授權後就可以登入受害人帳戶。
  3. 「偽裝廣告」- 黑客在搜尋平台上賣廣告,令自己的假網站可以在搜尋結果的頭數位,甚至前於被冒充品牌的官方網站,受害人一不留神就登入這些假網站。
  4. 「OAuth釣魚攻擊」- 受害人不知就裏授予權限給惡意程式,令惡意程式可以存取到用戶的資料。
  5. 利用社交工程,如近期虛擬銀行騙案,犯案者利用朋友關係,成功記錄受害人容貌及身分證等個人訊息來開戶借貸。

二、利用AI的攻擊

AI在去年初,大家或覺得仍然好遙遠,十劃都未有一撇。但去到今年,人人都熱烈討論著AI聊天機器人ChatGPT,大家是否依然認為AI跟各位沒有關係?

有黑客在ChatGPT推出初期已懂得利用ChatGPT編寫惡意程式。同時,大家亦要注意AI回覆的真確性、偏見及版權問題,所以凡事都要進行事實查核 (Fact Check)。另外,大家還要留意人工智能欺詐,一間名為Metaphysic的人工智能初創公司在美國受歡迎才藝表演真人騷《全美一叮》(America‘s Got Talent) 展示即時DeepFake技術,現場模仿已故著名歌手貓王Elvis Presley,擬真似假,可見DeepFake技術已經發展得好成熟。美國聯邦調查局在去年6月就發出警告,有不法分子利用DeepFake去應徵遙距工作,獲聘後利用所得權限接觸敏感資料。 

三、網絡犯罪服務(Crime-as-a-Service

現在有不少網絡罪犯都會通過出售或者出租他們工具來圖利,讓整個網絡犯罪更加商業化、工業化,大大降低技術門檻。普通人只需要購買或租用工具,或者購買大量個人資料來發動網絡攻擊,而且購買或者租用這些工具都好便宜,例如勒索軟件低至100美元都有交易,使這種網絡犯罪服務模式日趨普遍,人人都可以做黑客,對企業及大眾都構成很大威脅。

四、針對Web 3.0 的攻擊

2022年加密貨幣熱潮,HKCERT就觀察到有一系列針對Android及iOS手機加密貨幣錢包應用程式 (App) 的惡意活動出現,透過複製加密貨幣錢包的官方網站建立欺詐網站,然後利用搜索引擎優化 (Search Engine Optimisation, SEO) 提高欺詐網站的搜尋引擎排名,誘使用戶直接於欺詐網站下載虛假加密貨幣錢包App,從而偷取用戶加密貨幣錢包的助記詞及轉走用戶的加密貨幣。

另外,有黑客假扮加密貨幣交易所發送「網絡釣魚」短訊 (SMS),指根據加密管理局條例的規定,需要用戶登入更新帳戶並開通Wallet Direct功能,來確保可以正常使用帳戶。用戶按入SMS內的連結後,就會被導引至假的加密貨幣交易所網頁,頁面會騙用戶輸入登入資料。

除了加密貨幣外,非同質化代幣 (Non-Fungible Token, NFT) 及元宇宙都與Web 3.0息息相關。就NFT來說,黑客會試圖盜取或入侵NFT賬戶,又或者模仿NFT平台推廣手法,以免費名義發放假NFT資產,籍此誘騙受害人提供敏感資料。而元宇宙就涉及的保安問題,大多與虛假身份及數據泄露相關。

另外,一個不可不提的Web3.0技術是區塊鏈 (Blockchain),據統計涉及Blockchain和智能合約 (Smart Contract) 的損失高達200億美金。許多人對Smart Contract的保安都存在誤解,例如Blockchain 上其實有很多惡意Smart Contract,以及Smart Contract即使已經放入Blockchain內亦可以被更改的。

五、IoT 廣泛應用引發的攻擊

大家的手機、手錶、智能家居都是IoT設備。根據一項數據,只要智能設備一連接互聯網,5分鐘內就會受到黑客的攻擊。黑客主要偷取IoT設備的登入帳戶,又或者利用軟件的漏洞操控IoT設備。其實IoT應用於許多工業營運技術 (Operational Technology, OT) 設備上,可以涉及各類大型基礎建設,例如水、電、煤、交通、物流等,一旦受到攻擊,將會影響大量公眾,所以絕對不能忽視IoT保安問題。

HKCERT早前便夥拍香港理工大學(理工)以無人機作為例子,一同探討IoT設備的網絡安全,並製作了一條示範短片 (https://youtu.be/xhL-buZQjf0),證明這類設備如果沒有做好保安措施,隨時會被”劫機“。由IoT設備構成的保安隱患問題還有另一個催化劑,就是現在很多IoT設備都可以用手機App遙距操控,黑客如果可以掌握當中的通訊方式及破解認證方法,就可以自製另一個 App 來控制這些設備。這些並不是紙上談兵,因為理工的研究團隊已經做到這些示範,連汽車都可以被黑客植入惡意程式來遙距操控。

回應五大資訊保安風險

針對以上五大資訊保安風險,HKCERT早已籌劃一系列的工作來幫助大家應對,並會從提升公眾意識、打擊網絡攻擊、分析惡意軟件及網絡保安事故回應這些方面著手,未來一年的計劃包括:

  • 舉辦預防網絡釣魚活動,在全港不同地方擺設宣傳攤位,提醒公眾關注釣魚攻擊
  • 出版網絡安全刊物提醒公眾關注新興風險
  • 聯同本地網絡供應商及世界各地的電腦保安事故協調中心一起清除可疑網站 (例如釣魚連結及殭屍網絡IP地址)
  • 主動收集惡意程式樣本並進行分析
  • 為公眾提供解決網絡保安事故的方法及意見
  • 舉辦中小企資訊保安研討會及網絡保安比賽 – 奪旗挑戰賽

雖然以上計劃會陸續推出,但在現階段HKCERT都想提醒用戶要小心保護個人資訊,而且要多加注意網站域名的串法嚟防範釣魚攻擊,並且謹記更改IoT設備的預設密碼,以及對任何不明來歷的訊息都要有核實真假的態度,以免中伏。如果想知道上述計劃的詳情,或想知HKCERT的未來動態,獲取第一手資料或活動報名方法,記得追蹤HKCERT的Facebook專頁。