生產力局聯同香港網絡安全事故協調中心(HKCERT)及數字政策辦公室在1月20至21日一連兩日成功舉辦了「香港網安奪旗賽2024」( CTF挑戰賽)。賽事吸引超過1,300位參賽者來自內地、亞洲他各地、歐美等全球知名戰隊踴躍參與,創歷年新高。
自2020年以來,HKCERT已連續五年舉辦CTF 挑戰賽,其規模逐年擴大,並已成為本港最具影響力的大型網絡安全賽事之一。
生產力局首席數碼總監黎少斌表示: 「 CTF 挑戰賽旨在提供國際化交流平台,全方位提升參賽者的網絡攻防能力,為香港、粵港澳大灣區培育網絡安全未來專才。 隨著人工智能、大數據等新興技術與產業的興起,網絡安全成為備受重視的議題。新興技術有可能成為駭客的工具,培養『道德駭客』的重要性日益顯著。我們期待未來將會有更多網絡安全新星憑藉奪旗賽的舞台嶄露頭角,逐步成爲網絡安全領域的中堅力量,進一步鞏固城市數字化轉型的根基。」
生產力局聯同香港網絡安全事故協調中心(HKCERT)及數字政策辦公室在1 月20至21日一連兩日成功舉辦了「香港網安奪旗賽2024」。
數字政策辦公室副數字政策專員張宜偉頒發獎項並致辭表示: 「 『 港網安奪旗賽』不僅表揚參賽者在網路安全攻防比賽的傑出表現和才能,同時亦提供一個在網路安全領域上合作、知識分享和交流平台。數字政策辦公室將繼續鼓勵資訊科技業界積極支持網絡安全人才的發展,以應對日益複雜的網絡環境,並共同推動香港發展成為國際創新科技中心。」
群英薈萃巔峰對決 促進全球網安人才交流
今年, CTF挑戰賽連續第三年有過千人參與 ,海外組別更吸引了149支隊伍踴躍報名,包括兩支來自內地的隊伍,及兩支被譽為「聯合國隊」的隊伍同台競技,深化網絡安全的人才交流與協作。其中一支國際組隊伍於世界排名躋身前 50,更有隊伍已在不同CTF 比賽中七次奪冠,具備了衝擊世界第一的實力。 CTF 挑戰賽連續五年獲得業界好評,於國際知名奪旗比賽平台CTFTime 的評分連續四年穩步上升,證明其在國際奪旗競賽界的知名度及認受性不斷提升。
三支本地隊伍以及一支内地隊伍於決賽中奪標,分別奪得中學組、大專組、公開組及國際組金獎;而「最佳學校獎」則由拔萃男書院奪得。得獎名單詳見活動網站。
國際組冠軍隊r4kapig表示: 「 這次比賽為我們提供了寶貴的學習和實戰機會,讓我們接觸到許多新的知識和攻防技巧。我們首次到香港參賽,成員來自廣州、上海、南京和成都等地。賽事採用線上和線下混合的新模式,提供了良好的交流平台,令我們有機會與香港和國際選手進行深入的技術交流,分享經驗。未來,我們也將考慮投身網絡安全行業,繼續深耕這一領域。」
CTF比賽旨在全方位提升參賽者的網絡攻防能力,為網絡安全行業培育未來專才,並促進香港與國際以及粵港澳大灣區在網絡安全領域的協同交流。
結合多元化活動 培育本地網安人才
同日, CTF 挑戰賽後舉辦了研討會,邀請了多位網絡安全專家,圍繞網絡攻防演習如何彌補傳統安全測試的不足、人工智能應用中的安全風險與考量、網絡威脅的最新動態等熱點話題展開深入探討,並為有志於投身資訊科技行業的年輕一代提供寶貴的入行建議。活動的成功舉辦獲得 Amazon Web Services (AWS) 及OffSec 的鼎力贊助,參賽者有機會贏取由OffSec贊助的網絡安全網上課程,學習基本的進攻和防禦技術、網路、腳本、應用程式和作業系統安全以及業務相關技能 。如欲重溫今次活動及比賽詳情,可瀏覽CTF挑戰賽2024網頁了解更多。
今年情人節適逢臨近農曆新年,市民使用流動支付及電子錢包進行購物轉賬、搶購優惠或派發電子利是的活動將更為頻繁。香港網絡安全事故協調中心(HKCERT)提醒,近期出現多種針對此類平台的網絡釣魚攻擊,手法層出不窮,主要針對香港市民常用的購物平台(如HKTVmall)及流動支付平台(如轉數快FPS、PayMe、AlipayHK等),市民應提高警惕,慎防財物損失。
近期主要釣魚攻擊手法
騙徒主要利用市民的輕信心理與恐慌心態,透過偽冒客服發送內含惡意連結的短訊,誘導受害人交出帳戶控制權或進行虛假交易確認。HKCERT列出以下常見陷阱:
騙徒訛稱用戶HKTVMall家居保險已過期
「假冒購物平台職員」陷阱:騙徒假冒購物平台(例如:HKTVmall)職員致電用戶,聲稱用戶登記時曾自動購買了一份已到期的家居保險,要求用戶透過 WhatsApp 聯絡虛假保險公司客服來「終止收費」,繼而誘騙用戶進入釣魚網站騙取個人資料。
「帳戶驗證」陷阱:騙徒假冒支付平台職員(例如:轉數快FPS、PayMe 及 AlipayHK等),透過電話、WhatsApp或短訊聯絡受害人,聲稱需進行身份驗證,誘騙受害人提供一次性驗證碼(OTP)、交易密碼或個人資料。
騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
「自動付款」陷阱:騙徒訛稱用戶服務計劃的試用期已過,後續可能產生自動付款並收取高額月費或年費;同時聲稱用戶需在限時內聯絡假熱線或 WhatsApp 號碼以終止計劃,要求即時提供個人資料或點擊連結操作。騙徒有時能提供用戶全名及部分身份證資料以降低戒備,利用緊迫感迫使受害人就範。
騙徒訛稱用戶其服務計劃的試用期已過,並會自動付款收取高額的月費或年費
「帳戶凍結」陷阱:騙徒發送電郵或短訊,訛稱用戶的支付帳戶被凍結或賬戶喜得現金禮券等獎品,誘導點擊附有假冒網站的惡意連結。受害人一旦在假冒網站輸入個人資料,資料便會被截取,帳戶隨即被盜用。
「購物平台退款」陷阱:騙徒偽造網上購物的轉帳截圖騙取貨品,或假稱重複收款要求「即時退款」至陌生戶口。
「電子利是」陷阱:隨着「電子利是」普及,騙徒利用新年派利是的習俗,假冒用戶的朋友親人拜年祝賀,發送附有虛假訊息的提示短訊,誘導接收者點擊連結或掃描二維碼,套取個人敏感資料。
「WhatsApp 貼圖」陷阱:騙徒在佳節期間發送看似正常的賀年貼圖或祝福圖片,隨附一條聲稱可「領取獎勵」或「查看專屬賀卡」的連結。用戶點擊後,網頁會誘導下載惡意程式檔案(如 APK)。一旦安裝,騙徒便可遠端攔截 SMS 短訊以獲取銀行一次性密碼(OTP),非法轉走存款。
「廉價網購」陷阱:騙徒在社交平台開設虛假商店,以售賣廉價食品或旅遊服務為名,透過指示市民安裝非官方 App、APK安裝程式或以遠端協助名義要求用家共享螢幕,進而竊取用戶的一次性密碼及敏感資料。
HKCERT籲情人節及新年慎用流動支付。
HKCERT 防騙網安建議
為保障節日期間安全使用流動支付及電子錢包,HKCERT 建議市民採取以下網安措施:
-
- 切勿向任何人(包括自稱銀行/平台職員)透露驗證碼與密碼,包括一次性驗證碼(OTP)、交易密碼、信用卡資料等個人資料。
-
- 切勿撥打短訊內提供的號碼,應獨立核實來電/短訊,自行到官網或官方應用程式內查找客戶服務或支援熱線再致電查詢。即使對方說出部分個人資料,也不可放鬆警惕。
-
- 使用流動支付和電子支付前,核對商戶名稱(如轉數快FPS顯示全名),設置交易限額(尤其信用卡綁定電子錢包時)。
-
- 以 QR code 進行流動支付前,需小心核實應用程式提供的交易資料。完成支付交易後,要立即核實銀行或流動支付服務供應商所發出的交易記錄。
-
- 只從官方途徑下載手機應用程式,小心選擇給予應用程式的存取權限,如被要求短信讀取、收集通訊錄、相機、位置時,應份外留神。
-
- 定期為作業系統、瀏覽器及應用程式安裝最新安全更新及修補程式。
-
- 使用安全可靠的 Wi-Fi 網絡,避免連接保安設定較低的公眾 Wi-Fi 處理銀行或交易服務。
-
- 在輸入個人或付款資料前,務必核實網站真偽,留意網址是否異常、拼寫錯誤或設計可疑。
-
- 切勿透過即時通訊應用程式或外部網站處理任何聲稱與帳戶設定、取消服務計劃或退款有關的要求,相關操作應僅於官方平台內進行。
-
- 使用「守網者」(CyberDefender)檢查可疑電郵地址、網址及IP地址,識別網絡騙局及陷阱,或致電香港警務處反詐騙協調中心「防騙易18222」尋求協助。
-
- 定期檢查網上帳戶及付款紀錄,開啟交易提示,及早發現未經授權的交易。
-
- 若懷疑成為釣魚或詐騙受害者,應立即更改密碼,通知銀行或服務供應商,並向 HKCERT 報告尋求協助。
HKCERT日前發表的年度「香港網絡安全展望 2026」報告指出,2025年共錄得 15,877宗網安事故,而釣魚攻擊為最主要的威脅來源,佔近六成事故宗數。市民如欲了解更多有關釣魚攻擊的資訊,可瀏覽 HKCERT 相關網頁。
HKCERT日前發表的年度「香港網絡安全展望 2026」報告指出,2025年共錄得 15,877宗網安事故,而釣魚攻擊為最主要的威脅來源,佔近六成事故宗數。
