【網安趨勢】網絡釣魚事故創五年新高　IoT數碼顯示屏成新型網絡攻擊目標

香港網絡安全事故協調中心（HKCERT）總結去年香港網絡安全狀況，並發布 2025 年網絡安全預測，指供應商安全性不穩及 AI 生成內容被騎劫，將成本港網絡安全主要風險；並發布物聯網數碼顯示屏保安研究報告，顯示數碼顯示屏或成攻擊目標，這種新型保安漏洞，正時刻威脅企業及個人安全，情況值得關注，各界應做足保安措施，防患於未然。

HKCERT 日前舉行「香港網絡安全展望 2025」暨「物聯網數碼顯示屏保安研究報告」傳媒簡介會，指出 2024 年共處理 12,536 宗保安事故，其中網絡釣魚佔整體個案超過一半（7,811 宗，佔 62%），對比 2023 年上升 108%，數字錄四位數增加（共增加 4,059 宗），情況為五年來最嚴重。

與網絡釣魚相關的連結更超過 48,000 條，較去年多出 1.5 倍。網絡釣魚主要集中在銀行、金融及電子支付行業，其次是社交媒體、即時通訊軟件、電子商貿、科技企業及公共服務。惡意軟件的數量於 2024 年也顯著上升，按年增幅高達 4.8 倍，大部分處理的惡意軟件個案，均是針對智能裝置的木馬程式，裝扮成正常的應用程式引誘用戶安裝。

生產力局數碼轉型部總經理兼 HKCERT 發言人陳仲文工程師表示：「黑客取易不取難，轉向經第三方如供應商、承包商或服務提供者進行突破。關鍵基礎設施如能源、海陸空交通、銀行、醫療保健都有機會受攻擊。不管是低空經濟中的無人機，還是數碼顯示屏等物聯網裝置均有機會遇襲，影響嚴重。企業和個人需要作好準備，除制定適當的網絡事故應變措施​，配置適當的網絡安全措施​，更要定期進行保安審計及​滲透測試，整體認識有關風險並做好預防措施。」

HKCERT 根據自身數據及威脅情報進行研究和分析，及邀請不同行業和崗位的本地和海外網絡安全專家進行問卷調查，歸納出 2025 年須留意的五大網絡安全風險。

1. 第三方風險上升：供應商、承包商或服務提供者等第三方風險可能帶來嚴重後果，如引發法律訴訟、賠償。第三方電腦軟件、應用程式及開源程式碼等的網絡安全漏洞，也可能導致網絡攻擊和數據洩漏。第三方風險還可能導致供應鏈攻擊。黑客入侵合作夥伴來獲取對目標企業系統的訪問權限。

2. 大型語言模型資料外洩與投毒風險：大型語言模型面臨著資料洩露和被投毒的風險：提示攻擊（Prompt Hacking）通過設計和操縱輸入提示（Prompt）來誤導大型語言模型來輸出受限制的資訊；對抗性攻擊（Adversarial Attack）通過操控訓練數據，來影響模型日後的判斷。

3. 人工智能（AI）助長網絡攻擊及詐騙：許多黑客熱衷於討論如何越獄生成式 AI – ChatGPT，以生成被限制的內容，例如製作惡意軟件和釣魚訊息等。犯罪設計的 GPT 反映 AI 武器化仍然是一個安全風險。

4. 關鍵基礎設施網絡攻擊增加：全球的關鍵基礎設施均有受到惡意網絡攻擊的風險。2024 年全球針對關鍵基礎設施的網絡攻擊頻繁發生，其中香港的醫院也曾遭受勒索軟件的攻擊。

5. 物聯網（IoT）技術的安全風險：物聯網裝置已經涉及我們日常生活的各個範疇中，如數碼顯示屏、無人機、智能家居裝置等，但如網絡安全措施不足，會極容易遭到黑客入侵。HKCERT 發現，市面上可供購置的數碼顯示屏存在常見的保安風險，有機會被黑客發動 IoT 攻擊。

近四成受訪機構　未事先為數碼顯示屏評估風險

針對以上五大網絡安全風險，HKCERT 去年 7 月至 9 月期間，進行物聯網數碼顯示屏網絡安全意識調查，以電話訪問 624 間企業，涵蓋零售和旅遊、資訊和通訊技術、公共關係、金融服務、專業服務及非牟利機構、學校等不同行業，以了解及分析機構對使用數碼顯示屏及 IoT 的網絡安全意識。

現時數碼顯示屏除了安裝在商場、車站和升降機外，透過數碼顯示屏進行顧客互動的數碼廣告和電子餐單等，也日趨普及，這些裝置的潛在風險也隨之增加。調查發現，即使多數受訪用戶相當關注數碼顯示屏的安全，仍有 39% 受訪機構，不會事先為顯示屏進行網絡安全風險評估，​以應對相關風險。

調查揭示至少10個高風險嚴重漏洞

HKCERT 去年對八種不同品牌的數碼顯示屏進行研究。研究共發現 20 個漏洞， 其中 10 個屬高風險級別，急需堵塞漏洞。HKCERT 更即場示範常見的物聯網攻擊，最快只需 3 秒，即能取得顯示屏的控制權。

陳仲文指出：「數碼顯示屏數量多、影響力廣，其應用遍佈各行各業及生活上衣食住行的不同範疇，一旦遭受網絡攻擊，其後果可能是災難性的。在攻擊變得恆常化和系統化之前，我們有需要向公眾警告有關風險，提升大家的安全意識和防範能力。因此，HKCERT 提出六點建議，旨在幫助公眾抵禦網絡攻擊，保障數碼顯示屏能安全運作。」

六大保安建議：

1. 系統及軟件保安：停用不需要的軟件及服務，確保程式碼庫更新，使用高強度密碼雜湊，並定期更新系統和軟件
2. 網絡保安：使用加密協定（例如: HTTPS），啟用系統防火牆
3. 實體保安：停用 USB 自動運行和自動播放，限制實體操作介面
4. 制定數據保護政策：定期備份數據
5. 安全內容管理：實施審核程序，監控內容完整性
6. 安全帳戶管理：實施高強度密碼及多重認證功能，採取最小權限原則

#HKCERT #網絡釣魚#IoT #數碼顯示屏成 #網絡攻擊