網絡釣魚101 – 我們應如何保護重要信息？

2023-12-192023-12-19 benny

網絡釣魚事件近來在香港乃至全球其他地區皆頻繁發生。根據香港電腦保安事故協調中心 (HKCERT) 的數據，在去年共8,393宗網絡保安事故中，便有2,946宗為網絡釣魚，為第二常見的事故。事故數量雖然較2021年下跌21%，但所涉及的網址URL則上升4% (15,736條)，可見網絡釣魚攻撃持續變得成熟。

ChatGPT廣泛採用加劇網絡安全風險

HKCERT亦將通過釣魚攻撃盜用身分或憑證列為今年五大需要注意的網絡安全風險之一。近期一些針對獎賞計劃、信用卡以及銀行服務用戶的攻擊可以反映釣魚詐騙正席捲整個城市，我們因此有必要作出更好的準備，從而保護重要訊息。在全球面對經濟衰退，加上人工智能技術急速發展推動ChatGPT等工具的廣泛採用，這些情況經已進一步加劇網絡安全風險。

最新發表的2023 ISC2網絡安全勞動力研究揭示超過一半 (51%) 的香港受訪者認為人工智能將是他們面臨的最大挑戰之一，惟四成以上 (43%) 的香港受訪者對人工智能卻只有很少甚至無認識。這些技術不但降低了網絡攻擊者的門檻，亦能讓他們輕易製作語境和結構更完善、充滿說服力的釣魚郵件和信息，使消費者和企業更難防範。過往我們可以透過釣魚信息中奇怪的用詞和低劣的語法來判斷出釣魚信息，但ChatGPT或其他類似的軟件讓網絡攻擊者可以輕易地糾正這些缺陷，令釣魚信息更難分真偽。

亞太區270萬網絡安全勞動力缺口

騙徒在網絡釣魚技術上的進步除了令一般市民更難應付外，亦增加了網絡安全專家在偵測和預防方面的負擔。加上在亞太區持續擴大達270萬的網絡安全勞動力缺口，意味着亞太區需要近三倍 (278.1%) 數量的人才方能滿足需求，企業和組織應該更為注重培養員工的安全意識，從而避免個人資料、企業數據等敏感資料外洩。事實上，我們不需要成為網絡安全專家來避免落入網絡釣魚陷阱。只需要採取一些簡單而有效的措施，消費者和企業都可以在很大程度上降低這些風險。

對於消費者，我們有以下的建議：

建立良好的網絡衛生習慣 —— 現代網民通常會同時在多個不同的社交媒體平台和即時通訊軟件上擁有帳戶，增加了成為攻擊目標的可能性。因此，建立良好的網絡衛生習慣，例如使用多重身份驗證 (MFA)、定期備份和使用防火牆服務，都是一些可行且適用於所有平台的措施。
培養危機意識 —— 在輸入任何個人資料之前「停一停，諗一諗」。當收到一些不常見的發信者的信息時，先想想這個人是否需要問你這些資料？是否在一個合理的時間點發送？例如，您不會預計同事在沒有合理解釋下突然詢問你的信用卡資料。簡而言之，當收到一些我們預料之外的郵件或信息時，應抱持懷疑並更加謹慎。
輸入網址而不是直接複制 —— 如果收到任何擁有可疑連結的電郵或訊息，我們應該避免直接點擊，而是通過輸入已知的網址來訪問該網站。通過這種方式，我們往往可以發現真實網址和假網址之間的細微差別，而很多時候，這可能只有關乎一兩個字之差別。
留意不專業的圖像和缺乏指定性的問候語 —— 雖然人工智能技術的興起會使拼寫和文法錯誤不再那麼明顯，但消費者仍然可以發現其他特徵，例如奇怪的圖像和如「親愛的客戶」這些缺乏指定性的問候語，來判斷信息的真偽。

而在企業方面：

制定明確的數據保護政策 ——企業應該有明確的政策來保護和處理內部以及客戶數據，從而防止任何大意或一時之失的數據洩漏。
以創新方式來加強網絡安全團隊——招聘有經驗和專業的網絡安全人員固然能提供助力，但企業同時亦可為一些想從其他行業加入和沒有相關工作經驗的人士提供培訓。企業可以運用 ISC2 提供的資源，例如旨在為有意踏足網絡安全領域人士進行評估和認證的ISC2網絡安全認證 (ISC2 Certified in Cybersecurity)，來加強企業應對網絡安全威脅的能力。與此同時，企業需要了解到網絡安全不僅僅涉及運用電腦的硬技術，批判思維和善於解讀他人等等的軟技能亦同樣重要。ISC2的研究發現和全球水平相比，香港的企業和組織在強化網絡安全勞動力團隊上較缺乏創意。因此，將吸納人才的範圍擴大肯定有助於減少網絡釣魚和其他網絡安全事故的風險。
採用人工智能技術來減輕網絡安全專業人員的負擔——人工智能是一把雙刃劍，雖然它已經被網絡罪犯利用，但防禦方也可同時採用。從企業角度來看，人工智能可用於重複性的工作，例如檢視數量巨大的潛在有害信息，讓網絡安全專業人員得以專注處理那些已經由系統過濾和警示的內容，從而減少他們的工作量，達到更有效率的人力資源分配。

我們這些行內人士經常說網絡安全是一項團隊運動，它需要我們所有人都在自己的崗位發揮作用，以打擊網絡釣魚和任何其他種類的網絡攻擊。隨著網絡釣魚的方式和策略變得越來越複雜和難以預測，我們很難把類似事故完全根除，但仍然可以透過提升警覺性來避免大部份的危機。網絡罪犯的工具和策略固然可以改變，但他們的核心意圖仍然是以盜取重要訊息和詐取金錢利益為目標，而這些都是可以預測的。只要我們採取正確的措施，我們依然有足夠的能力在網絡釣魚事故激增的情況下保護重要信息。