科技發展 騙徒無孔不入 緊記無徵不信 HKCERT 拆解網絡安全要訣
香港警方公布今年首季錄得474宗電話騙案,數字按年下跌約兩成,按季亦跌三成多,不過首季損失金額按年飆升超過3倍、至近7.9億元,其中假冒官員的電騙案涉款佔7.6億元。單從數字而言,市民防騙的意識似是提高,但面對科技日益進步,騙徒手法更加層出不窮。這次BusinessFocus就有幸請來香港網絡安全事故協調中心(HKCERT)發言人陳仲文先生(Alex),為大眾講解最新防騙資訊。
Deep Fake 耳聽眼見未為真
深度偽造(Deep Fake)技術迅速發展,同時在網絡詐騙中扮演著重要角色。現時一套程式只需月費百餘港幣就能以少量的錄音和照片進行換聲換面。Alex認為「Deep Fake降低了製作高質量欺騙內容的門檻,使詐騙者能輕易生成釣魚郵件內容或偽造視頻和音頻。這不僅增加了詐騙的可信度,還使受害者更難辨識真偽。」
「在香港,一家跨國公司的員工就曾在視訊電話會議中被騙2億港元。詐騙者利用 Deepfake 技術透過網上公開影片取得假冒目標的公開外表和聲音,然後模仿他們的聲音跟外貌,誘騙被害人聽從指示最終成功行騙取。」Alex續指,「現在Deep Fake雖然可以靠一些技術破綻拆穿,但科技發展得太快,我們一定要準備面對完美的偽造,時刻保持戒心。」
釣魚攻擊 無孔不入
釣魚攻擊(Phishing Attack)一直以來都是最嚴重的詐騙攻擊之一。據HKCERT的調查數字,指出中心在2023年共處理7,752宗保安事故,其中網絡釣魚已佔3,752宗,佔整體個案接近一半(48%),數量對比2022年上升27%,增幅創五年新高。而今年上半年處理的釣魚攻擊事件同比增長85%,涉及的釣魚網址達18,474個。
「由於生成式AI的出現,過往詐騙網頁、電郵常見的文法錯誤已經很少見,也令騙徒更加明目張膽,甚至在搜尋引擎投放廣告,令釣魚網站置於搜尋結果首位。」過往亦有釣魚網站模仿通訊軟件的網上版並投放廣告,令不少人登錄信息被盜,「所以,除了使用電子郵箱和瀏覽器的反釣魚功能,以及不要胡亂點撃連結或附件,一定不可以怕麻煩而不用雙重/多重認證(2FA/MFA)。」Alex補充。
勿失戒心 保持警剔
「很多詐騙手段都跟釣魚攻擊類似,利用人失去戒心的惰性,例如在公共場所使用免費Wi-Fi。除了網絡可能被黑客控制,很多人都忘記黑客可以假冒任何Wi-Fi網絡名稱。」Alex續說,「其實不少人都知道可以如何保障自己,例如用VPN,避色在公共Wi-Fi上進行涉及個人或敏感資料的活動。HKCERT除了會主動以科技截擊詐騙,時刻提醒市民也就是我們的使命之一。」
「網絡安全的關鍵,並不是SOP手則,而是保持時刻警剔的意識。」在數碼安全上,有一個名詞叫做「零信任」指的是假定所有交易、實體及身份都是不可信任的,就是相類似的意識。Alex以智能家居為例,「不少人都假定裝置是安全的,但其實也只是一部微型電腦,所以也同樣不可以懶,所有物聯網設備都需要有不同密碼、並以路由器隔離不同設備,要是設備廠商不再提供韌體更新支援,就一定要更換。」
此外,有一樣較令Alex擔心的是一般人對密碼設定安全意識不足,「一般人都忘記了密碼是可以用brute force強行拆解。以現在的電腦算力而言,即使你設定九位數的密碼,當中更包含數字大小字母以及符號,只需三星期即可被破解,但只要設置密碼為十位數就可以把破解時間延長至五年。」Alex坦言科技不斷進步之下,密碼或許變得不再可靠,但只要啟用多重認證,便可增加帳戶登入的安全性,「未來很可能將會變成Password-less,例如使用政府廣泛推行的智方便那種登入方式。」
Alex認為不論科技進步多快,只要人時刻保持戒心和警惕,騙徒就很難成功「以網購騙案為例,不少人都因為看到有優惠而立即購買甚至提供敏感個人資訊換取禮品,但其實只要審慎核查該網頁或專頁的真偽,例如成立時間、客人的回覆、帖文內容等等,都可以看出蛛絲馬跡。」
Alex亦明白市民未必有時間緊貼科技的最新趨勢,所以他們一直以各種方式去為市民提供資訊包括預測將來會出現的詐騙類型,「所以最近HKCERT舉辦了2024網絡安全宣傳周同樂日,目的就是以愉快的方式令小朋友和老人家都能夠輕鬆的吸收網絡安全資訊以提升意識。」在網絡安全宣傳周同樂日中,HKCERT首次與香港知名插畫家DDED合作,設計了吉祥物「網安小C虎」,並設有六個遊戲攤位,透過創新的互動方式,向市民傳授網絡安全知識。六大互動遊戲區,針對六種安全意識而設計:
「打工仔釣魚日常」:識別商業釣魚郵件;
「網購唔中伏」:安全網購,智慧消費;
「秒捉AI黑客」:警惕AI欺詐;
「SET好密碼保平安」:創建堅固的密碼防線;
「智破網絡陷阱」:成為電郵詐騙的終結者;
「防避公共Wi-Fi陷阱」:揭示公共Wi-Fi的潛在風險。
參與者可以在趣味中學習,目標是通過這些活動,以輕鬆有趣的方式提高公眾的網絡安全意識。參與者還有機會通過遊戲集印卡和收集印章,贏取限量版DDED x HKCERT的精美紀念品,包括環保扇、電話掛繩、行李帶、多功能三合一充電線、旅行收納袋套裝、環保便攜式餐具套裝等豐富獎品。
【2024網絡安全宣傳周同樂日】
地點:荃灣D Park室內草地
日期: 9月7日 2:45pm-8pm
9月8日至15日 11:30am-8pm