由香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT)編制的《香港保安觀察報告》顯示,釣魚網站事件今年首季按季下跌79%至2,804宗。數字下跌主要由於本季涉及信用咭公司的釣魚網站減少。但中心指出,有關數字只反映寄存於香港系統內的網站情況,並不包括海外。黑客可以將釣魚網站寄存海外伺服器而攻擊香港用戶,例如本季曾發生多宗有關釣魚攻擊引致香港用戶重大損失的例子,當中涉及的釣魚網站亦是寄存於海外。
OT及IT系統融合帶來新風險
報告指出,近年更多工商企業和公用事業機構會運用5G或物聯網技術,把工業營運技術系統(OT)連接至資訊科技(IT)系統或互聯網,讓工廠機器及重要基礎設施設備的運作數據可即時回傳至IT系統,方便實時監察和分析機器和設備的運作情況,甚至自行調節運作參數,大幅提升生產效率及產能,進一步提升管理。但OT系統及IT系統融合雖然帶來機遇,亦帶來新的網絡保安風險,其中一個例子是若將兩者互聯後,以往只影響IT系統的惡意軟件風險亦會延伸至OT系統。
另外,報告亦指出,雖然大多數身份認證技術都值得信賴,但亦可能存在缺陷,而網絡犯罪分子往往會利用這些缺陷來發動攻擊。HKCERT 亦將身份/憑證盜用列為 2023 年五大資訊保安風險之一,身份攻擊的手法層出不窮,若用戶盡早了解不同的攻擊手法,可避免跌入陷阱。
ChatGPT騙案增多
提及人工智能聊天機器人ChatGPT自去年11月推出以來,短短兩個月便獲得一億用戶垂青,最近更推出一項名為ChatGPT Plus的付費訂閱服務。報告警告,黑客亦借此機會,通過提供虛假的應用程式或免費高級服務作招徠,誘使用戶下載惡意軟件或分享敏感資訊。根據網絡安全情報公司Cyble的報告,已經發現逾50個假冒和惡意的應用程式,它們會使用ChatGPT商標來進行詐騙活動,包括SMS欺詐、間諜軟件和帳單欺詐。HKCERT針對這情況並提出安全建議,提升公眾的防禦能力。