警方網絡安全及科技罪案調查科（網罪科）今年踏入成立十周年，並發表首份網絡安全報告，涵蓋全球以及香港2024年的網絡安全形勢，報告重點分析香港重要基礎設施面對的網絡安全風險。網罪科表示，本港去年發生逾百宗入侵系統活動及勒索軟件案件，其中涉款最多的一宗入侵系統案件，發生在去年10月至11月間，一間金融服務公司職員發現一名客戶賬戶有不尋常交易，涉及金額2,100萬元，向客戶查詢後獲悉公司伺服器存在漏洞，黑客透過漏洞向自己的手機發出一次性密碼，從而控制有關客戶的賬戶控制權，盜走款項。至於涉款最大的勒索軟件案件，發生於去年9月，一間資產管理公司職員發現電腦內的檔案被加密，黑客留下勒索信息要求支付逾500萬美元贖金，但公司最終無交贖金。●香港文匯報記者 蕭景源

網罪科對2024年共44萬項針對香港的網絡威脅情報分析，發現有超過65%、即超過28萬項與網絡釣魚有關，通常有四種手法。最常見手法是黑客利用網絡釣魚手法製造入侵電腦系統的入口，例如發送釣魚電子郵件或短訊，誘使受害者或機構員工點擊惡意連結，目的是引導受害人下載惡意軟件，或輸入企業系統或雲端服務的登入資料。

勒索軟件成網絡罪犯主要牟利工具

其次是殭屍網絡，由攻擊者控制的一個受感染設備網絡，用於執行網絡攻擊，例如分散式阻斷服務攻擊或濫發電郵。此外偵察活動，即黑客收集有關目標系統、網絡或機構的資訊，以識別系統安全漏洞，策劃潛在攻擊也十分常見。再其次是惡意軟件，包括病毒、蠕蟲、勒索軟件和間諜軟件。

當中，勒索軟件已成為全球網絡犯罪分子的其中一個主要牟利工具，並演變成龐大的地下產業，包括「勒索軟件即服務」（RaaS）的興起及數據洩露網站的出現。

網罪科警司陳純青指出，透過剖析去年的網絡安全事件，發現不同受害機構中被重複利用的系統安全漏洞，包括存取控制和配置不足的問題。自2020年在家工作普及化，企業需要透過虛擬私人網絡（VPN）及遠端桌面協定（RDP）連接讓員工在家工作，但企業在存取控制和配置方面存在不足之處，例如未有及時修補已被公開披露的漏洞，或者欠缺措施抵擋攻擊者利用憑證攻擊，即是撞密碼，令攻擊者更容易遙距入侵企業的電腦網絡。

防火牆未修補及舊版系統成攻擊目標

其次是系統過時並且未被修補的問題。未修補的防火牆和舊版系統是攻擊者的兩個主要攻擊目標。不論企業或公眾，都應該及時更新電腦保安系統，如防火牆、防毒軟件、電腦操作系統。一些已過時的電腦系統亦因欠缺更新，存在大量已被公開披露的系統安全漏洞，企業及公眾亦應避免繼續使用。

最後是欠缺威脅偵測機制，例如保安資訊和事件管理（SIEM）系統及端點偵測和回應（EDR）解決方案。一旦攻擊者成功入侵受害機構的電腦系統而未被發現，攻擊者就可以潛伏於系統之中進行廣泛的偵察、尋找敏感及機密資料或關閉網絡保安控制，直至時機成熟就會進行最後的攻擊，例如執行勒索軟體加密系統資料以換取贖金。當遏制資料外洩事故的時間愈長，修復其破壞的成本愈高。因此，企業必須部署強大的威脅偵測機制，以縮短攻擊者潛伏時間並減輕對機構的潛在損害。

警方對網絡威脅預測和警示

(1)人工智能（AI）網絡威脅及系統安全風險將會持續上升。人工智能是國家安全的重點領域之一，各機構必須實施完善的人工智能安全措施和部署先進的威脅偵測系統。

(2)勒索軟件仍會繼續猖獗。無論機構規模大小，都必須有健全的備份策略、事故應變計劃和安全意識培訓，以應對勒索軟件的持續威脅。

(3)隨着香港致力發展成為全球Web3和虛擬資產樞紐，針對區塊鏈和加密貨幣的攻擊將會越趨頻繁。加強網絡安全協議和監管合規是保持香港領先地位的關鍵。

(4)物聯網安全風險會不斷升級。香港擁有全球最先進的物聯網生態系統之一。在推動低空經濟和大型活動時，必須加強監察電子顯示屏和無人機控制系統中的潛在漏洞。

(5)供應鏈和第三方風險逐漸增加。香港對全球軟件及第三方服務的依賴使我們面臨更廣泛的攻擊面，企業必須加強對第三方服務及整個供應鏈的安全評估。

(6)雲端保安和混合工作模式的風險將會持續升溫。使用雲端服務的企業必須做好嚴格的雲端服務管理，防患於未然。

(7)針對重要基礎設施的攻擊將陸續湧現，對香港的必要服務和公用事業構成重大威脅。必須優先加強電腦系統和運營科技（OT）系統的網絡安全，共同守護大眾市民利益。

資料來源：警方網絡安全及科技罪案調查科

整理：香港文匯報記者 蕭景源