跳至主內容

香港保安觀察報告 (2021年第四季度)

發佈日期: 2022年03月01日 589 觀看次數

本中心很高興為你帶來2021年第四季度的「香港保安觀察報告」

 

現今,有很多具備上網功能的數碼設備(例如個人電腦、智能手機、平板裝置等),在用戶不知情下被入侵,令儲存在這些設備內的數據,每天要面對被盜取和洩漏,及可能被用於進行 不同形式的犯罪活動的風險。
 
《香港保安觀察報告》旨在提高公眾對香港被入侵系統狀況的認知,從而作出更好的資訊保安選擇。這份季度報告提供的數據聚焦在被發現曾經遭受或參與各類型網絡攻擊活動[包括網頁塗改、釣魚網站、惡意程式寄存、殭屍網絡控制中心或殭屍電腦等]的香港系統,其定義為處於香港網絡內,或其主機名稱的頂級域名是「.hk」或「. 香港」的系統。報告亦會回顧該季度所發生的重大保安事件及探討熱門保安議題,並提出易於執行的保安建議,提升公眾的資訊保安認知的水平,増強應對有關風險的能力。 

 

 

2021 第四季度報告概要

 

涉及香港的單一網絡保安事件宗數
4,753
按季下跌
2.2%

 

 

2021 第四季度報告概要 

 

事件類別

2020 Q4

2021 Q1

2021 Q2

2021 Q3

2021 Q4

按季

網頁塗改

305

295

476

445

595

+33%

釣魚網站

395

495

665

993

1,061

+7%

惡意程式寄存

2

0

8

0

0

-

殭屍網絡(殭屍電腦)

4,372

4,227

6,042

3,422

3,097

-9%

殭屍網絡(控制中心)

0

0

0

0

0

-

總數

5,074

5,017

7,191

4,860

4,753

-2.2%

 


香港網絡內的主要殭屍網絡

 

Mirai 1533 cases
Avalanche 409 cases

Conficker

273

-11.7%

Nymaim

195

75.7%

Virut

122

-18.7%

Sality

89

7.2%

Tinba

85

-9.6%

VPNFilter

60

-3.2%

Zeus

48

11.6%

APT

39

25.8%

 

Major Botnet Families in Hong Kong Network

* 主要殭屍網絡指在報告時間內,透過資訊來源有可觀及持續穩定的數據。殭屍網絡的規模是計算在報告時間內,每天嘗試連接到殭屍網絡的單一IP地址總數的最大值。換而言之,由於不是所有殭屍電腦都一定在同一天開機,因此殭屍網絡的真實規模應該 比所見的數字更大。

 

 


釣魚網站事件連續四季上升

Phishing Events Up for 4 Consecutive Quarters

 

與去年同期相比,釣魚網站事件升幅達265%。大部份釣魚網站都是以偽冒金融機構和網購平台為主,其他亦有科技公司、電子錢包、網上娛樂平台等。

網絡釣魚攻擊是黑客最有效進行連串網絡攻擊或入侵整個公司系統的起動攻擊手法之一。

 

現今的釣魚網站仿真度極高,很難單從網頁外表去分辨,但網址卻不能完全仿冒,所以用戶亦可仔細檢查網址來分辨真偽。

 

例子一

  • 錯誤的域名

hxxps[:]//amazon[.]bcdgh[.]com

hxxp[:]//dbs[.]intsrt[.]com

例子二

  • 英文串法錯誤

hxxps[:]//rrakuten[.]co[.]ip[.]28872[.]net/

例子三

  • 多重導向 (Redirection)

hxxps[:]//l[.]wl[.]co/l?u=hxxps[:]//abre[.]ai/dtzJ?userid=K44xuUwo

 

 

小心檢查網址及核實來源:

  • 留意網址的英文串法有否錯誤或可疑之處;
  • 切勿假設使用HTTPS 協定的網站一定是真實可信網站,釣魚網站亦可使用 HTTPS 協定;
  • 小心核實接收到的任何訊息,尤其是使用流動裝置的用戶;
  • 不要隨意打開任何連結或附件,並於提供個人資料前三思,先核實該網站真偽。

焦點:利用QR code作網絡攻擊與日俱增

 

儘管 QR Code 技術本身是安全的,但隨著大家對它愈加依賴,網絡犯罪分子會千方百計利用它犯案。外國有犯罪分子將正常QR code換成連結至釣魚網站,誘騙受害人提供敏感資料。

 

Quick Response Code (QR code) 1994年發明,它較傳統條碼(Barcode)更能快速讀取,並擁有更大的資料儲存量及支援更多的語言。流動裝置和網上服務的普及讓大眾的生活更趨數碼化,QR code的多項優點使其成為裝置與服務之間交換資料的媒介,開發者亦開創出不同的應用方式。

 

QR Code

 

由於肉眼不能識別QR code中的內容,加上大部份人對濫用QR code的攻擊認識不足,讓黑客有機可乘。HKCERT歸納當中的手法,其中許多都是常見類型:

流動支付

商戶遭不法分子掉換其靜態QR code,用戶若不慎掃瞄,支付金額就會轉到不法分子的帳戶,商戶及用戶皆會面對金錢損失

賬戶驗證

不法分子會複製通訊軟件的登錄QR code,然後發送至用戶。如果掃瞄了那些QR code,黑客便能取得受害人帳戶

網站瀏覽

QR code儲存網址非常普遍,不法分子會設立釣魚網站,然後以QR code暗藏該釣魚網站的網址,然後透過電子郵件或其他方式散播,誘騙受害人登入有關網站,輸入銀行賬戶密碼或個人資料等

訊息儲存

QR code可以用來儲存文字訊息。由於登機證及演唱會門票上的QR code或載有個人資料,若資料沒有加密,便會有資料外洩的潛在風險

 

 

使用QR code的保安小貼士

 

  • QR code進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄;
  • 掃瞄QR code前要提高警覺,不要掃瞄一些來歷不明的QR code
  • 使用防毒軟件上的QR code 掃瞄器功能,讓防毒軟件預先檢查URL是否安全才開啟網頁

 

 

Security Blog

HKCERT網站內可找到兩篇分別針對大眾及商戶/開發者的保安指引,當中列出QR code的潛在風險及相關建議,以供參考。

https://www.hkcert.org/tc/tag/?q=QR+Code+%E4%BF%9D%E5%AE%89

 


焦點:NFT - 熱錢包、冷錢包,哪個更安全?

 

NFT

開始進行NFT交易前,大家要考慮如何安全地儲存NFT資產。跟其他類型的虛擬貨幣一樣,大家可選擇以連線錢包(熱錢包)或離線錢包(冷錢包) 儲存,也可以混合使用這兩種錢包。不同類型的錢包在功能上都有優劣之處,大家可按各自的需要選擇。

 

錢包包含至少一對使用者公鑰及私鑰,其中私鑰更載有提取資產地址的資訊,尤其重要。

熱錢包

冷錢包

性質

連接至網絡的虛擬錢包

  • 交易所錢包:把NFT資產及虛擬貨幣存放於交易所賬戶,由交易所將NFT資產及虛擬貨幣統一儲存於同一個熱錢包
  • 桌面/流動錢包:一套網絡或流動應用程式,當用戶以桌面或流動設備建立錢包時,會把私鑰儲存至程式

未連接網絡的虛擬錢包,將私鑰存儲在離線狀態

  • 硬體錢包:例子是 USB存儲裝置,存儲NFT資產及虛擬貨幣的私鑰
  • 其他:把私鑰印製在紙上或用記憶力記下來,例如以 QR 碼印出加密地址及其私鑰

好處

方便

安全性較高

風險

網絡攻擊,如黑客入侵或資料洩漏

遺失、存儲裝置失靈、損毀或忘記

保安建議

  • 備份錢包,並設置密碼保護。同時不要公開恢復密碼的提示短語。有關具體的備份方法,請參考該錢包的相關指引
  • 經常更新錢包軟件,因較新的軟件通常解決了已發現的保安問題或優化了保安機制
  • 定期檢查存儲裝置功能。

 


網絡攻擊:黑客如何利用Log4j漏洞來進行攻擊

 

一個核彈級數的保安漏洞於2021129 日最初被公開,危險指數為滿分。這次漏洞涉及四個公共漏洞和暴露(CVE),分別是CVE-2021-44228CVE-2021-45046CVE-2021-45105CVE-2021-44832,並命名為 Log4Shell。黑客可籍此發送特定的記錄檔訊息至Log4j服務,來觸發遠端程式碼執行 (RCE),並可完全操控伺服器。

 

甚麼是Log4j?

log4j是使用Java編寫的log套件,由Apache開發,所以這次漏洞也被人稱為Apache Log4j漏洞。由於功能適合很多開發專案,加上是開源軟件,所以很多開發者使用。

 

Apache Log4j攻擊例子

Log4J

 

後續發展

保安警報

 

多個地方的保安事故協調中心(CERT)均發出保安警報。HKCERT亦向傳媒發出新聞稿,呼籲用戶儘快檢查及修補,並跟進事態,於網站上發布多種常用系統的保安更新及臨時解決方法。

https://www.hkcert.org/tc/security-bulletin/java-se-remote-code-execution-vulnerability_20211210

 

其他受影響系統列表及漏洞掃瞄軟件

 

廣範利用

 

Log4J graph

圖片來源: https://unit42.paloaltonetworks.com/apache-log4j-vulnerability-cve-2021-44228/#log4j-exploitation-attempts

2021129日首次公布Log4j漏洞起,網上嘗試利用漏洞進行攻擊的次數急劇增加。網絡保安公司Palo Alto Networks Unit 42 20211210日至20日對是次漏洞進行了數據收集及分析,發現攻擊總次數逾6千萬次。有關攻擊由12日開始急升,於16日達高峰,雖然隨後有回落,但20日再次回升,顯示漏洞被廣範利用。

處理方法

 

立即檢查所有使用中的軟件有否採用Log4j套件,及早更新至最新版本。如有需要請向軟件供應商查詢使用情況及保安措施。

因軟件供應商開發需時,建議用戶可採取以下風險管理措施

  • 停用Log4j
  • 停用Log4jJNDI lookups功能及禁用遠程代碼庫
  • 隔離受影響的系統
  • 使用WAF(Web Application Firewall)阻擋惡意字串

 

 

 

 

下載報告

 

< 請按此 下載香港保安觀察報告 >