AI武器化攻擊網絡最危 今年5大風險 小心深偽釣魚詐騙
原文刊於信報財經新聞「EJ Tech 創科鬥室」
香港電腦保安事故協調中心(HKCERT)昨總結2023年本地資訊保安狀況,並發布2024年資訊保安預測。HKCERT去年共處理7752宗保安事故,其中網絡釣魚佔整體個案近半,較2022年上升27%,宗數創5年來新高。跟人工智能(AI)相關的網絡攻擊,影響更陸續浮現,反映網絡威脅日趨複雜。
生產力局數碼轉型部總經理兼HKCERT發言人陳仲文表示,本地保安事故總數按年下降8%,惟僅回復到2021年水平。當中佔比最大的網釣攻擊,涉事行業集中在銀行、金融及電子支付,其次是電子商貿。
自動生成惡意軟件幫人犯罪
HKCERT預測,2024年必須留意的五大保安風險,分別為AI「武器化」、新一代釣魚攻擊、網絡犯罪趨向組織化、針對智能設備的攻擊,以及使用第三方服務的風險。陳仲文強調,AI是2023年最矚目的科技,同時亦是一把雙刃劍。HKCERT預測,今年將有更多不法分子利用AI策劃網絡攻擊,其方向可分為AI主導攻擊、AI衍生的漏洞,以及毒害與欺詐AI模型3種類型。
陳仲文指出,有黑客開發例如WormGPT這類不受限制的AI聊天機械人,可用於生成惡意軟件,降低犯罪分子技術門檻。不法之徒亦會利用生成式人工智能(Generative AI),不時改變程式碼,以逃避防毒軟件的偵測。他又稱,開發人員不應過分信任AI提供的程式碼,認為此舉容易忽略所存在的漏洞。
早前網上流傳一條教授投資的影片,疑似利用行政長官李家超會見傳媒畫面,後來證實是以深偽技術(Deepfake)製成,事件引發公眾關注。陳仲文認為此事屬於新一代釣魚攻擊,除了利用名人肖像,還可能假冒事主親友騙財。他提醒,市民收到有關視像時,可以要求對方遮蓋一半面部。這時AI無法識別對方面貌,有機會暴露真身。
LockBit勒索加密版難防範
對於去年部署最廣的勒索軟件變種LockBit,專業資訊保安協會副主席兼HKCERT關鍵基礎設施網絡保安通報計劃小組代表黃詩銘提到,LockBit採用勒索軟件即服務(RaaS)形式運作,專門提供軟件,由大量同黨或組織聯手展開攻擊。由於進階版LockBit採用模組化形式加密,在其發起攻擊前難以分析。
黃詩銘建議,企業應定時對文件離線備份,並及時更新軟件、做好漏洞管理。另一方面,可定期進行攻擊面管理,即從黑客視角檢視公司系統的安全性。