防AI詐騙 勿只靠電郵 生產局倡企業檢討轉帳流程
【明報專訊】隨茪H工智能發展,虛擬聲音及影像幾可亂真。香港生產力促進局轄下香港電腦保安事故協調中心(下稱中心)昨日發布2020年資訊保安展望,引用去年英國能源公司高層被模擬上司要求轉帳的聲音說服,將24.3萬美元匯入詐騙者操縱的戶口的個案,提醒企業檢討轉帳流程,指示員工須以電話核實有關金錢的指令,而非依賴電郵等網上溝通工具。
去年網絡保安事故跌 殭屍網絡增
中心2019年處理9458宗網絡保安事故,較2018年下跌6%,惟兩主要事故「殭屍網絡」(Botnet)和「網路釣魚」(Phishing)增加(見表)。中心指有關事故增加與全球趨勢相若,反映不法分子為謀取更大利益,較多以上述兩個途徑攻擊銀行、保險、金融及證券行業。「惡意軟件」的事故大減,惟生產力局首席數碼總監黎少斌提醒,現時更多惡意軟件感染電腦後無立即行動,潛伏企業內部嘗試橫向發展感染其他電腦,亦需提防。
中心預計,隨人工智能、物聯網和5G發展,將帶來更多網絡界面和更大數據流量在不可靠的網絡中,形容今年的保安趨勢是「變革之年」。人工智能深度學習更形成新形式「深度詐騙」(DeepFake)。中心經理梁兆昌引用去年全球首例︰2019年9月,一家英國能源公司高層被一把酷似其母公司上司的聲音說服,將24.3萬美元轉帳予騙徒操縱的戶口。梁稱騙徒以人工智能模擬事主上司說話用詞、語速,甚至口音,令事主不虞有詐。黎少斌提醒企業以此為鑑,檢討公司轉帳及匯款流程,亦建議一切有關金錢的指令,員工及高層應以電話互相確認,而非以電郵等網絡溝通設備。中心呼籲企業勿因一時方便,開放過多網絡權限予員工。
微軟的Win7及Win Server 2008/2008R2本周初終止支援服務,中心表示,未來亦相繼有TLS1.0/1.1等軟件停止支援傳輸層安全協議,建議企業或個人用戶將舊有系統升級,或購買系統供應商的「擴展安全更新服務」。中心現時正為醫療業界,包括部分私營醫療機構及醫管局提供網絡保安通報,檢驗其IP有否被感染。
明報記者