生產力局：處理資訊保安事故4年來首次回升

資訊科技的廣泛應用令各行業加快數碼化，同時也帶來網絡攻擊的風險。香港生產力促進局昨日公布，該機構去年處理的資訊保安事故，是4年來首次回升，其中殭屍網絡升四成，其次為網絡釣魚。有網絡安全專家指出，黑客除了想方設法套取市民身份證號碼、出生日期等敏感資料外，指紋和聲線等生物特徵也將是新目標，市民必須防範被盜用。有專家則提醒市民，網絡攻擊手法層出不窮，用家須謹記在交出涉及個人信息的資料時要慎之又慎，檢查是否為釣魚網站。◆香港文匯報記者 唐文

生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）昨日舉行簡報會，總結2022年香港資訊保安狀況及今年的保安預測。

中心去年共處理8,393宗保安事故，較2021年上升9%，是4年來首次錄得升幅，最主要事故為殭屍網絡（4,858宗），較2021年上升40%，其次為網絡釣魚（2,946宗），雖較2021年下跌21%，但所涉及的網址URL (15,736條）上升4%，其中逾六成與電子商貿、網上銀行及加密貨幣有關。

全球經濟復常 網攻隨之增加

該局數碼轉型部總經理兼HKCERT發言人陳仲文表示，過去一年，全球經濟活動及商務往來逐漸恢復正常，但企業和個人對互聯網的依賴卻有增無減，網絡攻擊的方式、數量及複雜程度亦隨之增加。「作為普通用戶，可能很難了解黑客的各種攻擊手段，但至少可以保有一個底線，在填寫個人資料如香港身份證號碼、生日日期時要仔細確認，不要輕易給出。另外也要注意保護指紋、聲線等生物特徵。」

網絡犯罪問題形成服務產業鏈

報告提出今年五大保安威脅趨勢，包括「釣魚攻擊」、利用AI人工智能攻擊、網絡犯罪服務（Crime as a service）低廉化、元宇宙等Web3.0應用，以及物聯網（IoT）廣泛應用。在網絡犯罪問題上，目前已形成服務產業鏈，不法分子僅需低至1美元便能購買1,000個被盜取的賬戶和密碼資料，相關勒索軟件價位僅約100美元，令盜取信息變得更為容易。

在物聯網方面，理工大學電子計算學系副教授羅夏樸表示，如果物聯網設備沒有更改預設密碼或更新過時的軟件，黑客就會有機可乘，利用有關弱點攻擊。

他現場播放了該學系早前的物聯網漏洞研究項目，一盞市售的智能調光夜燈，自帶一個手機調光程式，但研究團隊另外編寫一個程式，即可繞過原有程式實現對燈光的控制，同樣的漏洞還存在於電子手環，甚至車載系統，研究團隊可使用自己編寫的程式控制汽車尾燈和雙側車鏡開合。

至於Web 3.0的風險，羅夏樸指出，區塊鏈及智能合約可能存在未知的安全漏洞，「現在各區塊鏈平台上有許多欺詐和惡意智能合約，以及從不同維度進行的攻擊。區塊鏈及智能合約的開發者應採用系統化的方法加強其產品安全，包括詳盡的代碼審計、算法和程序邏輯的安全評估、代碼強化、實時監控分析和在線防禦、惡意智能合約或前端應用程式的檢測等。」