Q&A:Check Point 香港及台灣技術總監侯嘉俊2022.12.06
全文共1530字,讀完約需6分鐘

隨著元宇宙、NFT等新型技術概念成為科技業界乃至社會大眾的熱門話題,與之相關的安全問題亦浮出水面

隨著元宇宙、NFT等新型技術概念成為科技業界乃至社會大眾的熱門話題,與之相關的安全問題亦浮出水面,備受關注。監測機構Beosin的鷹眼區塊鏈安全態勢感知平台的數據顯示,僅2022年上半年,他們已監測到10宗與NFT領域相關的安全事件,估計損失約為6490萬美元。Check Point香港及台灣技術總監侯嘉俊接受《彭博商業周刊/中文版》訪問時表示,個人用戶需小心謹慎,勿輕信疑似釣魚連結,並在移動設備上做足安全防護準備,以防黑客盜取個人資料及數碼資產。

近來元宇宙、NFT等新興科技概念成為熱話,但與之相關的網絡安全問題也越發受關注,在這些領域中,你們發現了哪些網絡安全漏洞?

去年我們曾發現,若將內藏惡意編碼的NFT圖像上傳到NFT交易平台OpenSea上,之後再用另一個帳戶下載、打開這些圖像,惡意編碼亦會隨之啟動——如果用戶不慎在彈出式頁面內輸入了自己的加密錢包帳戶資料,帳戶內的資產可能會被植入惡意編碼的黑客盜走。在元宇宙中,暫時我們見到比較多的漏洞及攻擊都是針對用戶,其中釣魚攻擊仍廣受黑客歡迎。因為當有了身分才能登 入元宇宙,一旦這個身分被黑客盜取,那麼用戶在元宇宙裡的 個人資料及資產,例如加密貨幣、NFT都可能受到影響,甚至被竊取。 

近二十年,尤其是Web2.0時代中,釣魚攻擊似乎已經是較 「司空見慣」的攻擊手法,據你觀察,黑客在元宇宙中是否仍在運用這些手法?

的確,釣魚攻擊手法比較傳統,但它的成功率亦很高。 對黑客而言,重要的不是用哪一種攻擊手法,而是成功率。 且現在發動釣魚攻擊的成本和難度都在降低,黑客甚至可以使用一些免費的虛擬服務,只需要幾分鐘便能建立一個與 Facebook一模一樣的假冒網站。 

雖然用戶的警覺程度不斷提高,但始終會有一些具吸引力 的誘因令用戶不可避免地落入釣魚攻擊的圈套——例如當人們收到「某人發送了一個免費的NFT給你」時,可能對此產生興趣,因為你知道這件東西能為你帶來利益。 

由於上述概念的興起,包含 AR(擴增實境)、VR(虛擬實境) 等技術的設備正得到廣泛應用,黑客會否利用這些設備中可能存在的漏洞對企業或個人發動網絡攻擊? 

這絕對是有可能的。目前很多應用了AR或VR等技術的 設備已經內置可以獨立運作的操作系統,而並非像以前那樣一 定要連接電腦或手機等設備才能運作。這些操作系統大多是基 於Android或Linux開發的,本身可能存在漏洞;或者用戶下載 的應用程式或軟件帶有病毒,令黑客趁虛而入,這些用戶的個人資料及資產也會受到威脅。

我們正在與一些設備生產商合作,將安全防護系統內置在他們生產的閉路電視系統、5G路由器中,目標是從源頭上為 使用這些設備的企業和個人提供安全防護,希望帶出「基於安全的設計(Secure by design)」概念。 

你認為,現在的網絡用戶應如何規避這些潛在的網絡安全危機? 

對用戶而言,最基本的便是提高警覺,譬如警惕偽冒網站:許多詐騙網站會使用與目標品牌相似的名稱,但這些網站往往會有許多拼寫錯誤,只需稍加留意即可迅速辨別真偽。當然,更好的方法是利用技術工具篩查釣魚電郵,在點擊別人發來的連結時,由安全防護系統預先檢查,確保這個連結安全後再訪問及登入。 

在電腦等設備上,許多企業及個人都會安裝防護系統,但在手機等移動設備層面則不然——很多人沒有意識到這件事的重要性,或者認為一些移動裝置上的安全防護解決方案的價格不合理、性價比不高,這方面的缺失可能令他們的設備 遭受攻擊,造成嚴重後果。我認為移動設備的安全隱患值得用 戶重視,例如安裝防護軟件、定期更新它們。同時,業界亦 應為用戶提供手機上價格合理的網絡安全解決方案,這也是我們正在努力的方向。——楊括