網絡釣魚案年升三成 近五年新高
專家揭騙徒「換臉」呃事主親友 「AI武器化」成重點保安風險
電腦黑客及電腦網絡騙徒無處不在,香港電腦保安事故協調中心 (HKCERT)去年全年就處理 7,752 宗保安事故,其中網絡釣魚案件佔整體一半,個案宗數按年升近三成,是近5年的新高。中心昨日分析,AI(人工智能)「武器化」將成為今年重點保安風險之一,騙徒可能利用AI換臉技術仿冒事主身份,並透過社交媒體向賬戶持有人的親友索取錢財,建議市民減少在社交網絡分享個人身份特徵,收到可疑訊息,可利用不同渠道確認訊息發送人的身份,平時謹慎上傳帶有正面面容和聲音的影像到社交平台。◆香港文匯報記者 唐文
香港電腦保安事故協調中心昨日舉行簡報會,公布去年香港資訊保安狀況及今年資訊保安預測。去年該中心共處理7,700多宗電腦保安事故,按年微跌8%,但釣魚攻擊類別個案明顯增加,主要攻擊涉及交易、支付行為的行業,依次是銀行、金融及電子支付行業(佔37%),電子商貿(18%),加密貨幣(11%),科技(11%)以及公共服務(7%)。
展望今年的重點保安風險,中心預測人工智能「武器化」,新一代釣魚攻擊,網絡犯罪趨向組織化,針對智能設備的攻擊,以及使用第三方服務,是五大保安風險。
「AI降低做黑客的技術門檻」
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文表示,AI技術近年應用越發廣泛,不僅有傳統網絡公司使用AI編寫程式,黑客也會利用AI生成惡意軟件,「AI降低成為黑客的技術門檻。」
他舉例指,黑客可利用生成式人工智能下達指令,產生惡意程式碼,主導大規模的網絡攻擊;黑客亦可運用人工智能產生欺詐數據,影響其他人工智能的輸出,癱瘓網絡保安措施。
釣魚網站列搜尋結果前列易中招
此外,黑客還可能使用AI「深偽」(Deepfake)技術製作虛假影片仿冒身份,在社交平台騙取受害人信任,進而騙取金錢。同時黑客利用搜尋引擎的優化功能,令與官網域名拼寫類似的釣魚網站位列搜尋結果前列,混淆視聽,用戶很容易誤登假冒網站。
為展示「深偽」技術的「高明」,陳仲文昨日播放一段中心製作的換臉影片,他在片中分別以青少年、中年人及老者的形態出現,作出張口、四面張望等表情,換臉人物表現與真人非常類似。
陳仲文表示,雖然AI會被黑客利用,但相信各行各業並不會就此停止AI應用,只能在應用前先理解及平衡其網絡安全風險。而深偽技術亦並非完美,例如換臉者用手部遮擋部分面容時,AI會難以識別及冒仿,建議市民在收到可疑的視訊時,可要求對方做出類似動作,亦可使用其他渠道聯絡該人,以確認身份。
籲市民減少分享身份特徵
他表示,依照目前技術,偽造聲音難度高於面容,需要較大量的素材才能生成近似原聲的效果,故建議市民盡量不要上傳帶有聲音或正面面容的影像至社交平台。
專業資訊保安協會副主席兼HKCERT關鍵基礎設施網絡保安通報計劃小組代表黃詩銘亦分享LockBit勒索軟件分析及預防措施。他表示,LockBit勒索軟件是全球部署最廣泛的勒索軟件變種,又被稱為「加密病毒」,被該網絡病毒入侵的電腦,其檔案可能會被黑客盜取,同時刪除本機的檔案備份,用家無法使用之餘,黑客亦威脅會公開檔案,許多受害人只能無奈接受黑客勒索,支付贖金。
黃詩銘指,遭竊取的機密資訊一旦洩露,後患無窮,因此機構應防微杜漸,定期全方位檢視其網絡安全弱點,及時採取跟進行動,以免招致損失。
