本地去年的网络钓鱼报案比前年减少逾半,但当局提醒,鉴于国际上利用人工智能进行网络钓鱼的案件层出不穷,用户仍须提高警惕。
网络安全局星期二(7月30日)发布的2023年新加坡网络概况报告,我国去年的整体网安情况有所改善,隶属于网安局的电脑紧急反应组共接获约4100起网络钓鱼的报案,比2022年减少了约52%,而受影响最大的是金融机构和政府部门。
这份103页的报告说,我国采取了网络卫生平台(Internet Hygiene Portal)和网络安全宣导运动等多项措施,并且都收效,但它指出:“已通报的案件可能只是冰山一角,大部分的网络钓鱼阴谋可能仍在法网之外。”
网安局局长许智贤说:“生成式人工智能(generative AI)的使用将网络威胁带入了新的维度,当新技术变得唾手可得且愈加成熟,它们也更容易被网络攻击者所利用。”
去年全球钓鱼邮件数量达17.6亿
根据报告引用的国际网络安全公司Vade的统计,去年全球钓鱼邮件数量同比增长了51%,达到17.6亿,为历来最多。
报告例举了国际上利用AI工具,通过伪造声音、面容等生物信息来实施网络犯罪的一些案例。其中,英国设计工程公司奥雅纳(Arup)的一名香港雇员,在今年参加了一个由AI深度伪造的视频会议后,向骗子转出了2500万美元(约3360万新元)。此外,利用人工智能模仿人声的深度造假案也屡见不鲜。
网安局国家网络威胁分析中心副主任何致良博士在接受《联合早报》采访时指出,网安局去年并未接获涉及AI深度伪造的案件。然而,报告指出,当局抽样检查了所查获的网络钓鱼邮件,发现约有13%包含了利用AI方法提升骗术的痕迹。
他告诫公众:“在查阅邮件时要加倍谨慎,如果发现可疑的邮件内容或者异常网站URL地址,就要提高警惕。”
何致良向记者展示网安局去年查获的两封英文行骗邮件,其中一封就经过AI“润色”。尽管两封邮件的目的都是怂恿接收者转账,但“润色”过的邮件使用了“请您支付欠款”(kindly settle the outstanding duty)等礼貌用语,让人更容易放低戒心。
除了“改进”邮件内容,骗子还可能通过几可乱真的假HTTPS网站地址,发送网络钓鱼邮件。报告显示,2022年网安局处理的所有钓鱼案件中,仅9%用了HTTPS地址;然而,去年这个比率飙升至超过50%。
发布移动网络安全指南 提供规避网络风险建议
为了让公众更安全地使用互联网,当局星期二起在官网上发布了“移动网络安全指南”,为机构和雇员提供规避网络风险的具体建议。
总部在新加坡的安信咨询安全集团(Ensign InfoSecurity)咨询副总裁张翔征提醒公众,要谨慎处理任何来邮以及其链接或附件;上网时若发现疑点,可拨打官方热线查证网站内容的真实性。
他在接受《联合早报》访问时说:“养成安全使用网络的习惯很重要。采用多重认证、访问已知合法的网站、使用防病毒和防诈骗解决方案等措施,可以大大降低网络使用的风险。”
