【AI 特攻】AI引發保安新風險 HKCERT:凡事需Fact Check

| 陳裕邦 | 14-03-2023 09:30 |
【AI 特攻】AI引發保安新風險  HKCERT:凡事需Fact Check

【e-zone 專訊】香港生產力促進局轄下的香港電腦保安事故協調中心(HKCERT),早前提醒社會各界今年要留意多個資訊保安風險,包括身份/憑證盜用、利用人工智能(AI)的攻擊。

即刻【按此】,用 App 睇更多產品開箱科技影片

一、身份/憑證盜用

日常生活上,大家都會登入不同的電子平台,從網購平台、網上銀行,以至工作及私人的電郵系統。平台都需要驗證用戶身份,近年提倡的多重要素驗證(Multi-factor authentication,MFA)便是目前其中一種較為安全的方法,但黑客仍然有技術盜取大家的身份,以下有五種常用手法:

「中間人網絡釣魚」- 黑客架設釣魚網站作為一個代理,在中間代理受害人與官方網站進行雙重認証。成功驗證後,會把受害人載入官方網站繼續使用服務,但其實黑客已經在背後偷取受害人的 Session Cookie。手法厲害之處,是受害人根本不會知道自己已經中招。
「MFA 疲勞攻擊」- 黑客會在短時間內發出大量 MFA 授權請求轟炸受害人,務求令受害人誤按同意授權。另一邊廂,黑客得到受害人授權後就可以登入受害人帳戶。
「偽裝廣告」- 黑客在搜尋平台上賣廣告,令自己的假網站可以在搜尋結果的頭數位,甚至前於被冒充品牌的官方網站,受害人一不留神就登入這些假網站。
「OAuth釣魚攻擊」- 受害人不知就裏授予權限給惡意程式,令惡意程式可以存取到用戶的資料。
利用社交工程,如近期虛擬銀行騙案,犯案者利用朋友關係,成功記錄受害人容貌及身分證等個人訊息來開戶借貸。










二、利用AI的攻擊

AI 在去年初,大家或覺得仍然好遙遠,十劃都未有一撇。但去到今年,人人都熱烈討論著AI聊天機器人 ChatGPT,大家是否依然認為 AI跟 各位沒有關係?

有黑客在 ChatGPT 推出初期已懂得利用該平台編寫惡意程式。同時,大家亦要注意AI回覆的真確性、偏見及版權問題,所以凡事都要進行事實查核(Fact Check)。另外,大家還要留意人工智能欺詐,一間名為 Metaphysic 的人工智能初創公司在美國受歡迎才藝表演真人騷《全美一叮》(America‘s Got Talent)展示即時 DeepFake 技術,現場模仿已故著名歌手貓王(Elvis Presley),擬真似假,可見 DeepFake 技術已經發展成熟。美國聯邦調查局在去年 6 月就發出警告,有不法分子利用 DeepFake 去應徵遙距工作,獲聘後利用所得權限接觸敏感資料。 

HKCERT 提醒用戶需要小心保護個人資訊,而且要多加注意網站域名的串法嚟防範釣魚攻擊。

【相關文章】

【相關文章】

Source:ezone.hk
 

Page 1 of 9