| Capital 資本平台

本港時事

HKCERT：留意五大資訊保安風險

2023-03-15

近年資訊保安成為各界關注的重點，香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）日前在其年度資訊保安展望簡布會提醒社會各界今年要留意五大資訊保安風險，包括身份/憑證盜用、利用人工智能（AI）的攻擊、網絡犯罪服務（Crime-as-a-Service）、針對Web 3.0 的攻擊及物聯網（Internet of Things, IoT）廣泛應用引發的攻擊。在身份/憑證盜用，日常生活上，用家都會登入不同的電子平台，從網購平台、網上銀行，以至工作及私人的電郵系統。平台都需要驗證用戶身份，近年提倡的多重要素驗證（Multi-factor authentication, MFA）便是目前其中一種較為安全的方法，但黑客仍然有技術盜取用家的身份。黑客架設釣魚網站作為一個代理，在中間代理受害人與官方網站進行雙重認証。成功驗證後，會把受害人載入官方網站繼續使用服務，但其實黑客已經在背後偷取受害人的 Session Cookie。手法厲害之處，是受害人根本不會知道自己已經中招。其後利用「MFA 疲勞攻擊」－黑客會在短時間內發出大量 MFA 授權請求轟炸受害人，務求令受害人誤按同意授權。另一邊廂，黑客得到受害人授權後就可以登入受害人帳戶。或利用「偽裝廣告」－黑客在搜尋平台上賣廣告，令自己的假網站可以在搜尋結果的頭數位，甚至前於被冒充品牌的官方網站，受害人一不留神就登入這些假網站；透過「OAuth釣魚攻擊」－受害人不知就裏授予權限給惡意程式，令惡意程式可以存取到用戶的資料；利用社交工程，如近期虛擬銀行騙案，犯案者利用朋友關係，成功記錄受害人容貌及身分證等個人訊息來開戶借貸。勒索軟件低至100美元有交易在網絡犯罪服務（Crime-as-a-Service）方面現在有不少網絡罪犯都會通過出售或者出租他們工具來圖利，讓整個網絡犯罪更加商業化、工業化，大大降低技術門檻。普通人只需要購買或租用工具，或者購買大量個人資料來發動網絡攻擊，而且購買或者租用這些工具都好便宜，例如勒索軟件低至100美元都有交易，使這種網絡犯罪服務模式日趨普遍，人人都可以做黑客，對企業及大眾都構成很大威脅。針對以上五大資訊保安風險，HKCERT表示，未來一年會以不同活動助應對，包括舉辦預防網絡釣魚活動，在全港不同地方擺設宣傳攤位宣傳、出版網絡安全刊物、聯同本地網絡供應商及世界各地的電腦保安事故協調中心一起清除可疑網站、主動收集惡意程式樣本並進行分析，以及為公眾提供解決網絡保安事故的方法及意見等。更多關於資訊保安風險，請瀏覽： https://www.hkcert.org/tc/blog/verify-from-various-sources-to-ensure-security-when-searching-for-answers-with-ai https://www.hkcert.org/tc/blog/adopt-good-cyber-security-practices-to-make-ai-your-friends-not-foes https://www.hkcert.org/tc/blog/please-sign-them-smart-contracts https://www.hkcert.org/tc/blog/what-you-know-about-the-cyber-security-of-nft https://www.hkcert.org/tc/blog/nft-boom-how-to-protect-your-nft-assets https://www.hkcert.org/tc/blog/how-to-mitigate-new-cyber-security-risks-arising-from-the-growing-use-of-technology-in-industrial-operations 延伸閱讀：HKCERT：本地網絡釣魚事件連升三季逾13,000宗按季激升九成深入閱讀政經生活文化，更多內容盡在： Website：www.capital-hk.com Instagram：www.instagram.com/capitalplatform.hk/ LinkedIn：www.linkedin.com/company/capitalhk/ [...]

本港時事

HKCERT：本地網絡釣魚事件連升三季逾13,000宗按季激升九成

2023-03-07

釣魚網站近期成為網絡攻擊的常見手法。香港電腦保安事故協調中心（HKCERT）發表最新一季《香港保安觀察報告》，釣魚網站事件連升三季，並在2022年第四季首次錄得過萬宗，達13,574宗，按季激升90%，較去年同期更上升逾11倍，情況令人關注。報告除會提供過去一季被發現曾經遭受或參與各類型網絡攻擊活動的香港網絡系統的數據外，亦會回顧該季度所發生的重大保安事件及探討熱門保安議題，並提出易於執行的保安建議，以提升公眾的資訊保安認知的水平，増強應對有關風險的能力。釣魚網站事件連升三季，並在2022年第四季首次錄得過萬宗，達13,574宗，按季激升90%，較去年同期更上升逾11倍。數據顯示，84%的釣魚網站為虛假信用卡公司網站；6% 和 5% 與電訊和運輸行業相關。報告撰寫時，抽樣測試結果顯示這些網站均已關閉或不能進入，但相信黑客有意通過相關網站騙取用戶的信用卡或其他個人信息，用於非法行為。 HKCERT表示，最近常見的網絡釣魚攻擊手法主要是透過智能手機系統內置及第三方的即時通訊應用程式，將存有釣魚網站的惡意縮寫URL連結以訊息發送至收訊人。由於大多數通訊軟件都可以設定發件人的名稱，因此黑客可以偽裝成真實品牌的名稱。有網絡不法分子利用ChatGPT製作釣魚郵件人工智能（AI）的普及應用，一方面讓大家工作或生活上更省時便利，例如有人已利用ChatGPT編寫程式或文章，能得出比真人更快、更少錯誤的程式，生成的文章內容亦很豐富及井井有條；另一方面，已有網絡不法分子利用ChatGPT製作釣魚郵件內容，甚至編寫惡意程式，縱使開發商已加入保安機制禁止生成惡意內容，但已有網絡犯罪分子開發規避方法，並以網絡犯罪服務方式販賣，由此可見AI的潛在保安問題亦不容忽視。根據以色列網絡安全方案供應商 Check Point 於2022年11月上旬發表每月的《全球威脅指數》報告，名為「AgentTesla」的間諜軟件被列為全球最廣泛散布的惡意程式，影響逾 7%企業。就此，HKCERT收集了其中一個AgentTesla惡意程式作樣本，以分析整個攻擊手法及背後運作，並提出保安建議，提升公眾的防禦能力。 [...]

本港時事

HKCERT：慎防誤墮電話卡實名登記獎賞積分到期釣魚短訊陷阱

2023-03-05

近日本地社交通訊軟件用戶的網絡釣魚攻擊又有新搞作。有網絡不法份子又以電話卡實名登記為名，發送帶有冒充本地電訊公司的釣魚連結的短訊給用戶。這些釣魚網站是為了引誘受害者輸入他們的個人資料，例如身份證號碼、地址等。香港電腦保安事故協調中心（HKCERT）表示，提醒本地社交通訊軟件用戶於收到這類訊息的時候要加倍小心，需看清楚電話號碼及連結裏所指向的網站，避免墮入陷阱。如早前有騙徒偽冒「yuu」隨機向市民發出釣魚式欺詐短訊，聲稱客戶積分即將到期，引誘點擊內文附帶的不明連結，誤入該偽冒網站換領獎賞，結果被騙取個人及信用卡資料，造成損失。香港電腦保安事故協調中心（HKCERT）表示，提醒本地社交通訊軟件用戶於收到這類訊息的時候要加倍小心，需看清楚電話號碼及連結裏所指向的網站。如果對電話號碼或對方所提供的網站存疑，應透過官方渠道直接向該公司查證，以及利用「守網者」的「防騙視伏器」檢查是否有問題，千萬不要向不明來歷人士提供任何敏感資料，包括個人資料如身分證、出生年月日，或有關自己的相片和錄像。詳情可參閱：https://www.hkcert.org/tc/blog/beware-of-phishing-website-when-using-mobile-devicer或https://cyberdefender.hk/scameter/ 警方：善用「防騙視伏器」功能辨真僞警方反詐騙FB專頁「CyberDefender 守網者」亦提醒市民，騙徒換湯不換藥，緊記留意SMS內嵌連結的奇怪網址域名，與平台真正域名截然不同，稍加留意便可識破。此外，市民也可嘗試按下網站的不同按鈕，測試連結是否正常或會否連結至其他網站。如有懷疑，除了向官方機構驗證，也可在守網者網站的「防騙視伏器」（cyberdefender.hk），輸入可疑網址以分辨真僞。另一方面，yuu回應稱，得悉近日出現偽冒Facebook專頁或短訊，透過發放假訊息以套取顧客資料。 yuu對相關事件表示關注，謹此澄清yuu只有一個專頁（www.facebook.com/yuu.hk），以及一個官方網站（www.yuurewards.com）。有關活動或積分到期訊息並非由yuu發送，亦從未授權任何第三方機構進行相關活動，請顧客留意及不要向第三方提供任何個人資料。yuu將會採取一切必要措施，同時保留法律追究權利。延伸閱讀：HKCERT：用人工智能找答案多角度查證保平安深入閱讀政經生活文化，更多內容盡在： [...]

本港時事

HKCERT：資訊安全事故4年首升按年升9% 殭屍網絡威脅最大

2023-02-08

生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）今日(8日)舉行簡布會，總結2022年香港資訊保安狀況並發布2023年保安預測，更邀請香港理工大學專家學者分享物聯網(IoT)及Web 3.0最新保安風險趨勢。HKCERT最新發布《香港資訊保安展望2023》顯示去年網絡保安事故按年升9%，為4年來首次錄升幅。報告更提出了2023年必須留意的五大資訊保安風險：釣魚攻撃盜用身份或憑證：其中憑證釣魚(Credential Phishing)更是黑客慣常盜用身份的第一步，以騙取用戶的個人敏感資料。另外，黑客亦開始使用新攻擊手法嘗試繞過多重認證(MFA)保安措施。利用人工智能(AI)的攻擊：對比傳統系統，AI系統具有更深層次、更廣泛的潛在網絡保安風險。例如多個服務使用同一AI模型，當模型受到攻擊篡改，所有使用該模型的服務皆會受到波及。另外，黑客亦會利用AI編寫惡意程式或製作偽造訊息，如影像和聲音，用以散播謠言或勒索。網絡犯罪服務(Crime-as-a-service)低廉化將吸引更多不法分子使用：隨著網絡犯罪商業模式改變，網絡攻擊已發展成服務形式，大幅減低發動攻擊的門檻。網絡犯罪服務十分廉價，例如低至少於1美元便能購買1,000個被盜取的帳戶。 Web 3.0：其核心概念是「去中心化」，最為人熟悉的應用就是加密貨幣及元宇宙。HKCERT在2022年處理的釣魚連結當中，涉及加密貨幣的佔12%。香港金融管理局將虛擬貨幣交易所納入規管範圍，並規定虛擬資產服務提供者必須在2023年6月1日獲取許可牌照，可見Web 3.0 的保安風險不容忽視。 IoT 廣泛應用產生更多攻擊機會：數碼化帶動「工業4.0」發展，以智能製造幫助企業提升經營效率。「工業4.0」更是推動香港新型工業化的其中一個重要元素，它將IT及運營技術(OT)的系統融合，並往往會應用不同的IoT裝置，將IT及OT系統連接至互聯網，增加了網絡的出入口或網絡介面，帶來新的資訊保安風險及威脅。 HKCERT生產力局數碼轉型部總經理兼HKCERT發言人陳仲文表示，總結2022年香港資訊保安狀況，中心去年共處理8,393宗保安事故，較2021年上升9%，是四年來首次錄得升幅。當中最主要事故為殭屍網絡(4,858宗)，較2021年上升40%；而第二主要事故為網絡釣魚(2,946宗)，雖然較2021年下跌21%，但所涉及的網址URL (15,736條)則上升4%，當中逾六成與電子商貿、網上銀行及加密貨幣有關。 [...]

本港時事

資安小貼士：節日期間網上購物需加強提防網絡釣魚攻擊

2022-12-26

檢疫及社交距離措施的放寬讓經濟活動及海外旅遊及公幹得以正常化。臨近聖誕、新年長假期，人們紛紛外出旅遊、購買禮物和準備節日佈置。節日優惠和便利，吸引了很多人在網上購物。香港生產力促進局轄下的香港電腦保安事故協調中心（HKCERT）最近發現了許多針對網上消費者並不斷改良的網絡釣魚攻擊，意圖讓更多人受騙。佳節已至，HKCERT 特別為網上消費者介紹針對網上購物的釣魚攻擊手法，並提醒大家進行網上消費時必須注意的地方，以免墮進網絡釣魚陷阱。釣魚訊息最近常見的網絡釣魚攻擊手法主要是通過即時通訊平台，將存有釣魚網站的惡意縮寫URL連結以訊息發送，此類釣魚訊息流行於智能手機系統內置以及第三方的通訊應用程式。由於大多數通訊軟件都可以設定發件人的名稱，因此黑客可以偽裝成真實品牌的名稱。與真實網站相似的釣魚網站為了誘使受害者認為釣魚網站是官方網站並繼續輸入資料，黑客會註冊與該品牌網站相似的域名。例如: 香港郵政的正確域名為“hongkongpost.hk”，但黑客寄存了釣魚網站在名為“hongkongpost[.]do”的域名中。複製真實網頁介面的釣魚網頁除了使用與真實網頁相似的域名和URL連結外，黑客最近還會複製真實網站的網頁介面，例如其登錄頁面。此方法會節省設計網絡釣魚頁面的時間，因此大多數黑客會從真實網站中複製網頁介面後再更改網頁後端設置使用。此舉會讓用戶更難分辨瀏覽的網頁真確性。社交媒體平台中的網絡釣魚頁面隨著公眾廣泛使用Facebook、Instagram 等社交平台，一些黑客也會在社交平台上創建虛假頁面。他們大多會在頁面中發布一些虛假的優惠活動，並附上指向釣魚網站的連結。網上購物安全貼士切勿隨便點擊來歷不明的連結或附件。盡量在瀏覽器直接輸入網購平台網址或使用瀏覽器書籤。檢查連結及電郵的合法性，例如檢查清楚網址有否拼寫錯誤、文法錯誤或寄件人是否可信。若網站並非使用HTTPS加密，應倍加小心，不要在沒有加密的情況下輸入敏感資訊； [...]