杜絕網戀騙案 須教育「無知網民」

評論版 2021/09/16

分享:

網上情緣騙案手法最近頻密發生,且手法層出不窮。日前,有從事專業行業的年輕女事主,抵受不住自稱台灣IT男施展的甜言蜜語攻勢,放下戒心,聽從其指示,購買加密貨幣「泰達幣」(USDT),再滙到偽造網上賭博平台,參加疑似網上賭博,初可獲數百元回報,之後逐漸加大注碼,最終損失近100萬元,其中約一半更屬借貸。

據警方今年上半年的統計,網上情緣騙案大幅上升,由去年同期的429宗增加至822宗,上升91.6%,損失金額超過2.88億,上升1.6倍;受害人通常經過一段長時間才發現受騙,致損失較大。除了網上情緣騙案,虛擬貨幣交易行騙和網絡商業犯罪的案件,近年也不斷增加。

疫下遠程工作 綫上交易增

很顯然,網上騙案近年趨多的原因有多端--

由於從2019年底新冠疫情大規模爆發,生產以及社交活動受到影響,在禁足外出、限聚令下以致「遠程工作」模式大規模應用的情況下,使用電腦的人和使用時間都較以往為多,上網的時間當然也更長;另一方面,過去習慣在綫下的行為或交易活動,無論是出於自願或無奈,都多了在綫上進行。

一些相對較高風險的交易行為,例如投資買賣證券、商品甚至朋友之間的借貸活動,原本多傾向在綫下進行交易,但在疫情下,過往綫下的交易或行為模式,不少轉到綫上進行。這樣改變帶來甚麼影響、在疫情後這種改變會否持續,是值得注意的。

另一方面,互聯網科技近年的長足發展,包括人工智能等,令騙徒假扮成一個甚麼身份、甚麼樣子的「人」,都更輕易。在網上用一些技術造成與某人同一個聲音,甚至打扮成跟電影主角相似的面孔,使網上資訊變得真假難分,似真還假,可信性很低,不過往往又有人相信。

上網交友玩遊戲 沒留意新聞

可以說,網絡保安的一個關鍵節點,是參與網上活動的人必須有高度警惕的意識,亦要知道騙徒常用的行騙手法。從這些騙案看到,迄今仍然有大學生墮入「公安騙案」,把錢轉帳到不明人士的銀行戶口;在網上情緣騙案中,苦主把大筆金錢,存到只認識了幾個月的「想像情侶」所指定之海外銀行戶口。這些重複又重複、不斷發生的騙案,居然還有不少人「中招」,委實令人感到匪夷所思。

問題的癥結在甚麼地方?很顯然,雖然很多人上網,到處瀏覽,但他們所接觸的信息和上網目的,往往只是玩遊戲或交友,沒有留意到社會發生的新聞。換言之,在上網的人群中,存在不少「無知的人」,成為騙徒狩獵成功的對象。

解決之道,通過對「無知網民」進行教育,提高其警惕,是其中有效的方法,但知易行難,因為「無知」的人往往以為自己「有知」,沒有把忠告放在心坎裏。例如一些存放了大量客戶信息的企業,只因其內部個別員工的網絡保安意識不足,便釀成系統保安漏洞,讓黑客有可乘之機入侵,把客戶資料予取予攜,類似的案件屢見不鮮。

誠然,各國政府已愈來愈提倡推出一些保護網絡安全的措施,如金管局於2016年推出「網絡防衞計劃」,以提升香港銀行的網絡防衞能力,至去年11月再推「網絡防衞計劃2.0」版。計劃當中的「網絡防衞評估框架」(Cyber Resilience Assessment Framework),是一個以風險為本的框架,讓銀行根據這個框架,評估本身的風險狀況,以定出適當防範網絡攻擊的防禦措施。

事實上,要求企業或機構進行風險「自我評估」,然後再作出防範風險的應對措施,這類網絡保安措施和構思並非新鮮,而是沿用一直以來在商業世界裏的「風險管理」概念,從風險發現、評估,繼而作出應對管理,這是全球性的通行做法。

員工缺風險意識 企業防不勝防

然而,潛在的風險在未發生前,往往未被保安系統辨識出來,例如異國情緣的因素,網絡保安系統就不容易事前發現、識別出來。可能只因機構內部一名員工,在網上交友過程中警惕不足,一不小心,讓認識不深的網絡朋友製造了一個入侵公司電腦系統的缺口。因此,即使風險系統有辦法針對機構有多少個員工、有甚麼服務產品,相對作出了一些保衞措施,但不能保證公司每個員工都有足夠對保安風險的認識,形成「防不勝防」的保安漏洞。

歸根究柢,網絡防衞的關鍵,在於用戶不清晰或不在意自身在網絡保安上的角色,對公司電腦安全系統的保安意識也不足夠。筆者研究網絡保安多年,一直提倡機構不僅需要教育員工對互聯網保安的認知,還需要政府、機構以至僱員各方在網絡保安上的角色分配和風險分擔,而不是由一方來單獨應對。

增第三方服務 或引入潛在風險

筆者曾提出過網絡保安「第三方」風險的概念,即企業自身的網絡系統相當安全,但當這家企業增加了一些由外判供應商(第三方)提供的額外服務時,便可能引入了潛在安全風險。一旦「第三方」的系統安全性出現漏洞,黑客便可以乘虛而入,順藤摸瓜,直闖企業的網絡系統。

另一方面,企業與企業之間、企業與用戶之間,以至用戶與用戶之間,大家互相勾連,這種千絲萬縷的網絡關係,使網絡保安無可避免帶有相互依賴的「集體性」,很難單靠一方獨力完成。因此,我們需要從責任分布的角度,檢視網絡安全問題,令網絡安全得到更全面、更踏實的「整體性」維護。

很顯然,企業除了做足網絡安全的裝置和措施,還需要提出誘因,激勵員工做好自身保安付出和保安責任投入的部分。如果他們付出的部分不足,沒有切膚之痛,粗心大意,往往便會成為整個保安系統「致命」之處;出了事的員工,也需要負上責任。

網安整體維護 定全面防禦系統

與此同時,網上的交易機構,對其他持份者都會造成影響,例如商業夥伴、供應商以至顧客等,因為顧客用網上交易機構的網絡,都會為自身帶來網絡安全的風險。以銀行為例,過去也有銀行的資料庫被黑客入侵及非法盜用,銀行當然有損失,但同時引伸一個經濟學上的「溢出效應」(Spillover Effect),這種負面的界外效應,造成各方都受損害。因此,網絡保安必須從一個寬闊的角度來考慮,而不是由一方來應對安全風險,因為一方個體的不小心,會牽連到很多方面同受影響和損失。

換言之,網絡保安是需要「整體性」的維護,通過教育,提高網絡用戶的風險意識;與此同時,在防禦網絡風險的責任分擔、合理分配、在損失後果共同承擔的基礎上,制定一個全面、集體性的防禦系統,相信才能有效管控網絡風險和攻擊的進一步肆虐。

疫下「遠程工作」模式大規模應用,過往綫下的交易或行為模式,不少均轉到綫上進行。(法新社資料圖片)

撰文 : 許佳龍 科大商學院資訊、商業統計及營運學系講座教授、艾禮文家族商學教授

欄名 : 評論

緊貼財經時事新聞分析,讚好hket Facebook 專版