資安威脅歷歷在目 個人與企業不容輕忽大意 智慧應用 影音
Microchip
ADI

資安威脅歷歷在目 個人與企業不容輕忽大意

  • 洪千惠

持平而論,台灣相較於世界各國,資安意識並不算高;有關這點,只要觀察Shodan.io網站揭露的統計數據,即可看出端倪,台灣所使用的網路攝影機、NAS或相關套件中,超過9,000台採用預設帳號與密碼,數量之高居於全球首位,相當令人咋舌,顯見國人對於去年所發生的Mirai DDoS攻擊事件,感觸並不夠深。

在此前提下,肯定有不少人認為,業界一再倡議資訊安全,似乎有些危言聳聽,但事實上並不然。按美國FBI轄下網路犯罪投訴中心(Internet Crime Complaint Center)所公佈的數據顯示,2016年美國網路犯罪案件數超過29.8萬,較2015年略增,儘管增幅尚稱緩和,但箇中仍蘊含讓人驚悚的趨勢,也證實了網路犯罪不僅在世界上流竄,且殺傷力愈來愈強,倘若個人或企業依舊掉以輕心,唯恐在未來付出慘重代價。

2016年美國因網路犯罪損失13.3億美元。

2016年美國因網路犯罪損失13.3億美元。

釣魚郵件與惡意軟體快速增長。

釣魚郵件與惡意軟體快速增長。

2017年首季出現55,679個勒索軟體新變種。

2017年首季出現55,679個勒索軟體新變種。

惡意軟體總數直逼7億大關。

惡意軟體總數直逼7億大關。

若以網路犯罪所造成的金錢損失而論,2015年大約10.7億美元,已超過新台幣300億元之譜,時至2016年,損失金額則推升到13.3億美元,上看新台幣400億大關,年增率超過兩成四,比起案件數的成長幅度更大,顯示已有愈來愈多高危害性的網路犯罪型態出現。

電郵詐騙的殺傷力驚人

究竟有哪些高危害性的網路犯罪?若欲選出榜首,絕對是「變臉詐騙」(BEC)。在2016年期間,美國一共投訴了12,005起BEC案件,僅佔了整體案件數的4%左右,乍看之下並不算太嚴重,但如果從損失金額的角度來看,BEC就是一門極具破壞性的犯罪手段。2016年因為BEC而造成的損失高達3.6億美元,整體佔比為27%,顯見對於駭客而言,BEC的「投資報酬率」相當高。

事實上,不僅美國因為BEC損失慘重,台灣的受災戶也不在少數,尤其是一些外貿導向的中小企業。其常見的攻擊情境是這樣的,駭客入侵得逞後,持續監控受駭企業的郵件溝通情況,從中掌握該企業所屬供應鏈或中大型客戶的相關資訊,也對於彼此匯款模式與習性有所認知。

直到時機成熟,駭客便偽冒大型供應夥伴的執行長或財務長,發送造假信件予該企業,言明因為種種緣故需要換置匯款帳戶,要求該企業的財務人員將款項匯入該帳號;往往直到供應夥伴遲遲未收到款項,一經詢問,才讓企業赫然發現遭致詐騙,因而蒙受可觀損失。

根據以色列資安服務商Cyren的統計,因電子郵件而引發詐騙或惡意攻擊的趨勢,確實呈現逐年攀升之勢;儘管數據的發生時點距今有些久遠,但仍具參考價值。在2015年期間,全球每天有517.5億封垃圾郵件,即便為數龐大,然而年增率呈現負值,足見危害程度逐漸減緩,反倒應當留意的,則是仍在上升趨勢的釣魚郵件、惡意軟體。

以夾帶惡意軟體的信件而論,全球每天有9,554封,較前一年度增加14%,成長幅度頗為顯著;另外論及釣魚郵件,日平均產量最低僅396萬封,但它卻是以55%的高年增率陡角揚升,成為企業今後必須提高警覺的郵件威脅項目。

所謂網路釣魚(Phishing),即是駭客意圖透過電子郵件、通訊軟體獲取你的個資,進而竊取你的身份認證;多數網路釣魚會企圖讓自己看起來像是一般行為,例如來自銀行、信用卡公司、信譽良好的公私立機構的正式通知,但事實上卻在訊息中夾帶惡意連結,誘使你來到幾可亂真的山寨網站,提供帳號密碼,滿足駭客預期的犯罪目標。

惡意軟體量少質精,破壞性未減反增

近年讓人聞之色變的勒索病毒,最常見的攻擊方式,便是透過釣魚信件。早年常聽人建議,凡是看到陌生人寄來的信件,千萬不要開啟,否則就有可能感染勒索軟體,但其實到了近期,勒索病毒經常使用社交工程郵件手法,達到綁架電腦之目的,更教人防不勝防。

依照本文一開始所引用的FBI網路犯罪投訴中心報告,繼變臉詐騙之後,嚴重性名列第二的網路犯罪手段,便是勒索軟體,總計2016年在美國發生2,673起案例,造成約240萬美元的損失。

儘管台灣在資安素養層面有待提升,但在各種網路犯罪型態當中,勒索軟體算是讓國人最為有感的威脅,只因為它近幾年可謂肆虐全球、哀鴻遍野,不少人就算本身不是受災戶,從週遭親朋好友中,也不難找到遇難者。

根據卡巴斯基實驗室所披露的2017年第一季惡意軟體追蹤報告,共計出現了11個新增的加密惡意軟體家族,以及高達55,679個最新變種,據聞部份變種會將加密程式模組裝載到系統目錄,增加使用者清除的難度,更有甚者,針對行動裝置而設計的勒索軟體,也在2017年首季達到218,625個之多,比起前一季的61,832,增長幅度相當驚人。

據了解,埋伏在行動裝置的勒索軟體一經運行,木馬即要求取得管理員權限,蒐集關於該裝置的諸多資訊,包括GPS、通話記錄等等,並且將這些資訊上傳到伺服器,接著伺服器會根據所得數據發送指令,指揮木馬繼續鎖定裝置。

總括而論,迄今已在世上曝光的惡意軟體,其累積數量已相當龐大,據資安測試機構AV-TEST統計,現今差7億大關只剩一步之遙;回顧2012年,當時還未達1.1億水準,等於之後用了不到5年,便漲升至少6倍之多。

也許有人看過AV-TEST的這份報告而稍感欣慰,只因2016年新增的惡意軟體樣本數為1.28億左右,明顯較2015年的1.44億為低,是2006年以來首度減少,足以推論網路攻擊態勢逐漸和緩。但其實AV-TEST提到,惡意軟體樣本增速減緩,並不意謂資安威脅驟降,只能說明攻擊者愈來愈在意攻擊成效與品質,務求以少量質精的惡意軟體達到犯罪目的,由此可見,個人或企業今後所面臨的風險反而更大,萬萬不可對防護基本功有所懈怠。

 

關鍵字