香港網絡安全事故協調中心(HKCERT)昨天舉行簡介會,總結2024年本地網絡安全狀況,同時對2025年網絡安全作預測,並發布「物聯網數碼顯示屏保安研究報告」,更即場示範最快3秒取得控制權,呼籲各界做足保安措施。
網釣7811宗倍增 5年最多
該中心2024年共處理12536宗保安事故,其中網絡釣魚佔整體個案62%(7811宗),數字較2023年激增108%,情況為5年來最嚴重。生產力局數碼轉型部總經理兼HKCERT發言人陳仲文表示,網釣主要集中在銀行、金融及電子支付行業,其次是社交媒體、即時通訊軟件、電商、科技企業及公共服務;網釣相關連結超過4.8萬條,規模比2023年多出1.5倍。此外,惡意軟件數量2024年顯著上升,按年增幅高達4.8倍,大部分處理的個案,均是針對智能裝置的木馬程式。
陳仲文提醒,2025年必須留意多個網安風險。首先,黑客轉為經第三方,例如供應商、承包商或服務提供者,獲取目標企業系統的訪問權限。其次,黑客可透過「提示攻擊」或對抗性攻擊,誤導大型語言模型(LLM)輸出受限資訊,甚至影響模型日後的判斷。第三,除了留意人工智能(AI)武器化,全球的關鍵基礎設施(例如醫院),數碼顯示屏、無人機、智能家居等物聯網裝置,均有被駭的安全風險。
數碼顯示屏除了安裝在商場、車站及升降機,數碼廣告及電子餐單等日趨普及,容易遭受BadUSB、紅外線遙控、假冒顯示屏伺服器等攻擊,亦涉及不安全的密碼雜湊,以至遠端控制服務被啟用等情況。HKCERT去年研究8種品牌的數碼顯示屏,共發現20個漏洞,當中10個屬高風險級別。中心在去年7月至9月,又以電話訪問624間企業,結果發現39%受訪機構,不會事先為數碼顯示屏評估網安風險。
HKCERT籲注意AI網攻風險
數碼顯示屏的應用層面,遍布各行業及衣食住行,一旦遭受網絡攻擊,後果或是災難性。陳仲文提出多項保安建議,首先停用不需要的軟件及服務,確保程式碼庫更新,使用高強度密碼雜湊,並定期更新系統及軟件。用戶除了加強網絡保安水平,亦可停用USB自動運行及播放功能。另一方面,定期備份數據之餘,也要加強管理內容及賬戶,如實施高強度密碼及多重認證,採取最小權限原則。
陳仲文總結,黑客如今運用AI工具,網釣電郵不但更逼真,更可生成大量釣魚網站,大幅降低成本。騙徒取得個人資料後,再部署下一步攻擊。隨着深偽(Deepfake)技術流行,用戶必須提高警覺,亦可致電當事人確認身份。使用物聯網裝置時,必須盡快更改原廠密碼,避免把裝置開放到互聯網,減低被黑客發現的機會。
