作為國際金融中心之一的香港,近年金融業接連遭到黑客狙擊,單是已曝光的幾宗個案,涉及金額近五千萬元。面對黑客的網絡攻擊,香港有資訊保安專家表示,正因香港是國際金融中心,成為雲集不同種類黑客的地方,敢說現時香港,已成黑客樂園。
香港銀行加強防範網絡攻擊刻不容緩。去年五月,香港金融管理局曾連續通報有3家銀行的22個帳戶被黑客入侵,黑客盜用帳戶炒股涉及金額達4,597萬元。金管局去年底發表通告引述香港銀行學會指,銀行受襲的機會率較其他行業高出三倍。
國際市場調查公司Gartner數據顯示,去年全球用於網絡安全的支出可能高達770億美元,較前年多8%,並估計一八年前銀行和其他企業用於網絡安全的開支有機會超過1,000億美元(約7,800億港元)。
擁有逾20年訊息安全行業經驗的資訊保安公司Nexusguard Consulting行政總裁龐博文稱,公司客戶包括香港多間大型商業機構,站在最前線對抗網絡惡意攻擊。
他指,隨着物聯網日益發展,現時他與同事們除了要與中了毒的喪屍電腦和智能電話搏鬥外,已經開始要對抗閉路電視和智能電視。
他指:「香港仍是有為黑客攻擊設防,而香港的黑客相對來說也是溫和的。然而,香港整體是否安全又是另一回事,因香港是國際大都市、金融中心,不同人都集中在這裏,可成為頻密洗黑錢、大量情報販賣的地方,在香港你會遇到任何類型的黑客。」
一般金融證券機構如何防止黑客入侵?龐博文指出,內部安全方面,機構要小心做好軟件安裝控制(如小心勒索軟件、來源不明和與業務無關的軟件及做好備份)、提高員工安全意識、做好網絡安全分隔,分隔涉及客戶私隱及業務資料的電腦系統和其他系統。
外部方面,如有網上系統或手機軟件提供服務給予客戶,網上系統應該被防火牆和入侵者檢測系統保護並固化系統。手機軟件應加入強加密機制,程式碼安全優化及禁止已越獄及破解的手機運行業務相關軟件。
至於已經成為黑客入侵目標的銀行業,龐博文表示,由於有關監管機構已經開始進行銀行網絡防衞計劃,以加強香港銀行在系統上的安全,一般情況下都不會有太大問題,但DDoS(阻斷服務攻擊)勒索仍然會是銀行業要經常面對的風險,所以一定要建立相關對應機制。
他指出,銀行也應該盡量爭取教育他們的公眾客戶注意手機安全,避免使用已破解及越獄的手機來進行網絡銀行及電子支付。
現在多了古靈精怪的罪犯,並且漸見年輕化和普及化。如來自發展中國家的年輕人,以此作為業餘賺錢的方法,亦因供應多了,令到不少勒索軟件的價錢降價至40美元(約312港元)以下有交易;另外有些原本不懂網絡惡意攻擊的人,亦開始用勒索軟件,事後卻不懂解鎖。
龐博文續指出,有一類黑客專門在Deep Web(深網)上售賣各類型的勒索軟件。至於過往的傳統黑客,部分已經變成專業罪犯,與犯罪集團結合,例如去年黑客盜取證券戶口以抬高股票價格圖利,已是有組織的犯罪行為。
龐博文慨嘆資訊保安行業人手短缺,加上可被黑客入侵的物品已擴展至家庭電器,戰線不斷延伸。
他又指,「物聯網最嚴重問題是廠商沒有做好安全把關工作,藍芽密碼大多是預設的『0000』或『1234』。試想要發展智能城市,有多少物件要連接,這是很大隱憂。」
小市民要減低被黑客攻擊的機會,其實都是大家耳熟能詳的生活常識。
龐博文指:「行街時有陌生人給你蛋糕,你會否吃?為何在互聯網上有人給你檔案免費下載,你又會下載?不要貪小便宜,禍從口入。第二,大家買得起一部幾千元的智能手機,為何不願付數十元安裝防毒軟件?但謹記,裝一隻防毒軟件就夠,而且家用電腦不要安裝公司版本的防毒軟件,因公司版本不代表更厲害。」
另外,在街上不要一見到開放的WiFi就衝過去接駁,正如不要胡亂與陌生人傾偈。一些個人和財務資料的敏感資訊,不要亂用公共WiFi,應用流動數據。「如果你用商場WiFi處理網上銀行事宜,與你站在商場中央拿起自己件衫有乜分別呢?我看不出其分別。」
龐博文指,部分銀行會採用雙重認證保障客戶,這機制是安全的,但有些驗證碼透過手機SMS傳送,就要留意你本身部手機是否安全:「如果你的手機已越獄(Jailbreak) 或Root咗,黑客就有機可乘。又或者你本身部電話來自一些奇怪的零售商,被預先下載了一些軟件,就可能有安全上的漏洞。」
龐博文提醒,萬一大家不幸中了勒索軟件,不要驚慌。互聯網上有可以免費下載的工具解開超過30種勒索軟件。另要謹記,不要付錢鼓勵罪犯:「我見過有客戶一個月撞到24次勒索,因只要你一付錢,黑客會在深網知道。正如你試試在旅遊區付錢給過來行乞的小朋友,後果會點?」當然,隨着科技進步,大家也應與時並進,學習電腦和編程,並在使用任何電子產品前先看清楚說明書。