生產力局:處理資訊保安事故4年來首次回升
資訊科技的廣泛應用令各行業加快數碼化,同時也帶來網絡攻擊的風險。香港生產力促進局昨日公布,該機構去年處理的資訊保安事故,是4年來首次回升,其中殭屍網絡升四成,其次為網絡釣魚。有網絡安全專家指出,黑客除了想方設法套取市民身份證號碼、出生日期等敏感資料外,指紋和聲線等生物特徵也將是新目標,市民必須防範被盜用。有專家則提醒市民,網絡攻擊手法層出不窮,用家須謹記在交出涉及個人信息的資料時要慎之又慎,檢查是否為釣魚網站。◆香港文匯報記者 唐文
生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)昨日舉行簡報會,總結2022年香港資訊保安狀況及今年的保安預測。
中心去年共處理8,393宗保安事故,較2021年上升9%,是4年來首次錄得升幅,最主要事故為殭屍網絡(4,858宗),較2021年上升40%,其次為網絡釣魚(2,946宗),雖較2021年下跌21%,但所涉及的網址URL (15,736條)上升4%,其中逾六成與電子商貿、網上銀行及加密貨幣有關。
全球經濟復常 網攻隨之增加
該局數碼轉型部總經理兼HKCERT發言人陳仲文表示,過去一年,全球經濟活動及商務往來逐漸恢復正常,但企業和個人對互聯網的依賴卻有增無減,網絡攻擊的方式、數量及複雜程度亦隨之增加。「作為普通用戶,可能很難了解黑客的各種攻擊手段,但至少可以保有一個底線,在填寫個人資料如香港身份證號碼、生日日期時要仔細確認,不要輕易給出。另外也要注意保護指紋、聲線等生物特徵。」
網絡犯罪問題形成服務產業鏈
報告提出今年五大保安威脅趨勢,包括「釣魚攻擊」、利用AI人工智能攻擊、網絡犯罪服務(Crime as a service)低廉化、元宇宙等Web3.0應用,以及物聯網(IoT)廣泛應用。在網絡犯罪問題上,目前已形成服務產業鏈,不法分子僅需低至1美元便能購買1,000個被盜取的賬戶和密碼資料,相關勒索軟件價位僅約100美元,令盜取信息變得更為容易。
在物聯網方面,理工大學電子計算學系副教授羅夏樸表示,如果物聯網設備沒有更改預設密碼或更新過時的軟件,黑客就會有機可乘,利用有關弱點攻擊。
他現場播放了該學系早前的物聯網漏洞研究項目,一盞市售的智能調光夜燈,自帶一個手機調光程式,但研究團隊另外編寫一個程式,即可繞過原有程式實現對燈光的控制,同樣的漏洞還存在於電子手環,甚至車載系統,研究團隊可使用自己編寫的程式控制汽車尾燈和雙側車鏡開合。
至於Web 3.0的風險,羅夏樸指出,區塊鏈及智能合約可能存在未知的安全漏洞,「現在各區塊鏈平台上有許多欺詐和惡意智能合約,以及從不同維度進行的攻擊。區塊鏈及智能合約的開發者應採用系統化的方法加強其產品安全,包括詳盡的代碼審計、算法和程序邏輯的安全評估、代碼強化、實時監控分析和在線防禦、惡意智能合約或前端應用程式的檢測等。」
0
已點過讚
0 / 255