【資訊保安隨筆】「一click頓成千古恨」 以下高危網絡活動你中幾多樣?

特約 00:00 2022/04/04

分享:

分享:

大家有沒有發現愈來愈多名人及明星的社交網站,轉為採用NFT頭像?隨着元宇宙的建立及大力推廣,市場憧憬加密貨幣(Cryptocurrency)將普及應用,擁有升值潛力,因此愈來愈多人參與NFT加密藝術市場。然而,NFT是高風險的產品,投資者不僅要面對市場風險,更需要留意虛擬世界的新技術,往往存在許多未知風險,容易成為黑客竊取他人財產及資料的溫床。若我們掉以輕心,隨時「一click頓失過千萬」。筆者用以下五條問題,讓你了解自己是否正面對高危網絡風險!

一、你是否正進行加密資產(例如NFT)交易?

近年加密貨幣廣受全球金融及IT界關注,加密貨幣及交易平台成為不法分子的攻擊目標,從加密貨幣交易和儲存兩方面入手,盜取用戶敏感資料,進入帳戶轉走貨幣,或作其他惡意用途。最近有某大型NFT網上交易平台的用戶誤中釣魚攻擊陷阱,被盜取超過170萬美元(約1,326萬港元)。事緣該NFT網上交易平台曾經以保安理由,要求用戶將出售中的NFT升級至新的智能合約,有黑客遂偽冒該平台團隊,藉着「提醒用戶」,發送包含惡意網站連結的釣魚郵件,該假網站藏有交易條款,要求用戶簽署授權執行。有用戶信以為真,不慎點擊授權,令巨額NFT資產被轉走。

香港生產力促進局(生產力局)轄下的香港電腦保安事故協調中心(HKCERT)早前已發出警告,呼籲用戶要加倍提防日益猖獗的網絡釣魚攻擊。筆者建議,NFT用戶收到熱錢包(Hot Wallet)的請求時,應仔細查看請求的內容,如有任何疑問,應拒絕該請求,並進一步審查。同時,也應定期檢視自己的NFT授權,並撤銷過去有問題或不確定用途的授權,並切勿向任何人披露加密貨幣錢包的恢復短語(Recovery Phrase)。
 
然而,即使個人提高警惕,這些資產交易平台本身或因設計缺憾、用戶未有設定雙重驗證方式登入及保安檢查不足等而出現保安漏洞,成為黑客攻撃的目標。黑客或會上載包含惡意程序碼NFT等,造成惡意交易而令用戶資產被盜、帳戶被控制或NFT被低價交易等情況。

另外一點需要注意的是,在交易NFT產品時,用戶也要留意NFT的版權問題。由於現時各國對NFT買賣缺乏監管,有機會出現任意抄襲NFT的情況;加上NFT平台設置在外國,NFT擁有人的權利並不清晰及難以追究,或會令購入侵權項目的用戶蒙受損失。一旦購入的是抄襲別人的NFT作品,也令NFT價值降低。

早前有用戶因為釣魚郵件,被騙走超過170萬美元的巨額NFT資產。

二、你是否正參與元宇宙或新興平台Discord的活動?

NFT及元宇宙(Metaverse)涉及新型虛擬資產儲存、交易及大量數據往來,當中亦包含虛擬世界中不同用戶的活動資訊,因此相關的資訊保安將備受更大關注。筆者預測,元宇宙及加密貨幣相關技術將會是今年黑客的重點攻擊目標之一,黑客或會模仿NFT平台的推廣手法,以免費名義發放假的資產,盜用用戶的帳戶或敏感資料,甚至盜用元宇宙的「虛擬化身」。筆者建議,用戶在簽署任何交易前,應小心核實所有資料,如有不明的資料,應提高警覺及向官方機構查證。

近期,有不少NFT賣家會在Discord平台宣傳,用戶應該要小心查證與官方公開資料不同的訊息,同時也要小心檢查網站連結,例如與官方網址比對有沒有可疑之處。如用戶發現平台上的NFT價值與官方公佈的不同,應提高警覺。筆者建議用戶可以設置臨時錢包,只儲存適量加密幣作交易用。至於平台管理員,則要啟用雙重認證,設定各個管理人員的權限,並審視管理工具權限。

元宇宙及加密貨幣相關技術將會是今年黑客的重點攻擊目標之一。

三、你有否使用新興科技(例如:物聯網、人工智能、二維碼、5G等)?

隨着愈來愈多新科技普及應用,其潛在保安漏洞,以及黑客發動的網絡攻擊將會趨向多元化。舉例說,用戶缺乏對敏感資料的安全保護意識,利用物聯網存取未有加密的資料;黑客利用人工智能製作虛假身份或盜用身份進行欺詐;另外,黑客利用二維碼(QR code)散播釣魚網站,或騎劫攻擊以QR code登入的帳戶等,都值得你密切提防!

物聯網、人工智能、二維碼等新興科技潛在保安漏洞。

四、你有否採用第三方服務供應商提供的服務?

隨着疫情進一步加快供應鏈互連和數碼化,將會有更多黑客透過攻擊第三方服務供應商,以入侵最終目標機構的供應鏈。這種供應鏈攻擊主要利用企業對合作夥伴的信任,避開保安防禦。筆者建議,如果你是企業的管理人員,應加強對第三方供應商及應用軟件監察,以改善保安防禦機制。此外,亦要定期評估網絡和系統的保安,持續監察所有連接到互聯網的設備配置。

現時有不少企業已轉型至混合工作模式,早前HKCERT公布全球的勒索軟件攻擊有所增加,新一波攻擊相信是利用遙距存取工具和網路儲存裝置(Network Attached Storage, NAS)中的漏洞作為主要的入侵缺口。因此,企業在轉型期間要注意網絡安全,包括及時更新資訊科技系統、留意供應商的官網、定期更改設備的管理員和用戶密碼及使用多重身份驗證、建立數據離綫備份及定期進行數據復原測試,並定時更新已終止支援服務的軟硬件產品。

如果你是企業的管理人員,應加強對第三方供應商及應用軟件監察。

五、你有否進行網上購物/使用網上銀行?
相信這一點,大部分人包括筆者在內都無法避免。隨着數碼化融入經濟及生活每一環,網絡攻擊將會變得更具針對性及有組織。無論是企業還是個人,都會容易成為具規模攻擊的對象,舉例說,多重勒索軟件出現,以及針對常用服務如網上購物、電子銀行等釣魚攻擊將成常態。筆者建議,切勿任意點擊或打開來歷不明的電郵、短訊或社交媒體內的超連結或附件。另外,用戶更要避免使用公共Wi-Fi進行網上交易,不要在網上(例如:購物平台)儲存信用卡資料。同時,用戶也可以善用信用卡雙重認證服務及設定網上交易限額,保障自己。

多重勒索軟件以及針對常用服務如網上購物、電子銀行等釣魚攻擊將成常態。

正因網絡世界一日千里,資訊保安新威脅漸趨複雜及多元化。無論個人或企業,均需要保持警惕及防範意識,定期吸收新的網路安全資訊,例如HKCERT的免費資訊,並提升應對能力,才能盡情且安心享受網絡虛擬世界帶來的方便和好處。

撰文:陳仲文 香港生產力促進局數碼轉型部總經理兼HKCERT發言人

(特約)

緊貼財經時事新聞分析,讚好hket Facebook 專版