網安局上半年接獲報告 一成釣魚電郵含生成式AI內容 | 聯合早報

今年上半年，新加坡網絡安全局旗下的電腦緊急反應組（SingCERT）接到的釣魚電郵報告中，有10%含有生成式人工智能內容。

新加坡網絡安全局局長許智賢星期一（12月16日）接受《聯合早報》專訪時，透露這數據。許智賢回顧2024年新加坡面臨的網絡安全及韌性態勢，並分析明年值得關注的網絡威脅趨勢時指出，生成式人工智能技術在釣魚郵件等網安威脅中越來越普遍。

新加坡網絡安全局局長許智賢接受《聯合早報》專訪時強調，所有技術歸根結底都是在便捷、安全和成本之間的權衡，而便捷和安全之間常有衝突，沒有適合所有情況的簡單答案。（何家俊攝）

他指出，這些釣魚電郵的文法（grammar）等方面有進步，看起來更加可信。隨着人們在日常工作中更多地使用技術日趨成熟的生成式人工智能工具，騙子利用這些工具讓釣魚電郵看起來更真實，也在意料之中。

騙子甚至會利用生成式人工智能工具，應對聲音、樣貌等傳統驗證方式矇混過關，因此人們也須做出相應的改變應對。不過，網安局也利用人工智能技術，檢測不尋常的網絡流量，希望儘早發現網絡攻擊。

澳大利亞、新加坡等11國於今年1月出版《與人工智能互動》（Engaging with Artificial Intelligence）手冊，幫助機構利用人工智能技術，同時管控風險。

延伸閲讀

[網安局局長：抵禦外國網絡攻擊之際 須淨化本地網絡基礎設施

](https://www.bdggg.com/2024/zaobao/news_2024_12_19_727549) [網安局發出警報與公告逐年增 助公眾和企業掌握安全漏洞與趨勢

](https://www.bdggg.com/2024/zaobao/news_2024_12_06_724805) 許智賢説，勒索軟件、針對供應鏈、開源項目和物聯網設備的攻擊，以及為日後網絡攻擊做的預先部署（pre-positioning），將是明年值得關注的網絡威脅趨勢。

勒索軟件仍是全球一大網安問題

勒索軟件仍是全球令人擔憂的一大網安問題。勒索軟件團體越來越多地針對關鍵信息基礎設施。今年6月，印度尼西亞國家數據中心就遭到勒索軟件攻擊，導致200多項政府服務中斷。

新加坡面臨類似形勢，今年首10個月裏，已接獲132起勒索軟件事件的通報，與去年全年的數據一樣。

許智賢指出，這可能因為確實發生更多起勒索軟件事件，也可能是因為更多受害者願意通報。他説，無論如何，這都是積極的發展，因為受害者向當局報告後，能獲得幫助和建議，當局掌握的信息也能提高網安態勢感知能力，做出更好的決策。

他敦促所有公司向網安局報告勒索軟件事件，並訂閲網安局旗下的電腦緊急反應組發佈的網絡安全警報及公告。“我們要向公司和公眾保證的關鍵一點是，當你向網安局報告時，我們瞭解你是受害者，不會來找你的麻煩。”

如今本地民眾在日常生活中越來越多地使用各種數碼技術，許智賢強調，所有技術歸根結底都是在便捷、安全和成本之間的權衡，而便捷和安全之間常有衝突，沒有適合所有情況的簡單答案。“為了使技術發揮作用，我們必須做出評估，並決定如何達到這種平衡。”

他説，現實生活中，人們不希望經過多重驗證步驟後，才能完成購買電影票這類小額交易，但對於購買組屋這類的大額交易，就能理解多重驗證的必要性。因此，人們不應期望對於小額和大額的數碼交易，都是一樣的流程。

對於近期本地熱議的公佈完整身份證號碼是否會引發網絡安全等方面的問題，許智賢指出，從網安角度來看，身份（identity）和身份驗證（authentication）是不同的概念，用户名屬於前者，密碼則屬於後者。公眾不應使用身份證號、全名或生日日期作為身份驗證，因為這些是人們知道或能猜出的信息，用作身份驗證是不太安全的做法。