去年,大量個人資料外洩,加上連接的裝置,包括了物聯網的興起,更多設備受到攻擊。今年,以社交工程為主導的網絡攻擊,會成為主流。
趨勢科技發表2019年資訊保安年度預測報告,針對網絡安全威脅與網絡犯罪攻擊趨勢,提出三大重點警示:包括憑證資料外洩詐騙事件,將不斷增加、網絡釣魚攻擊手段將取代漏洞攻擊套件,成為主要攻擊手法。此外,工業控制系統的安全性,亦持續受到威脅。
趨勢科技香港及澳門區顧問總監李浩然說:「回顧今年全球資訊保安,各組織及企業對於資料安全的重視;發生重大資訊安全事件,又凸顯連網裝置普及所面臨的資訊保安問題。2019年企業和組織會加入更多連網設備,上網速度大幅提升,資訊安全面臨更廣泛與多元的挑戰,建立多層式智能防護的保安政策,將愈來愈關鍵。」
憑證外洩攻擊激增
憑證填充攻擊(Credential Stuffing)是以殭屍網絡,再透過大量外洩的電郵和密碼,自動化地以疲勞轟炸方式,不斷試圖登入各大網站攻擊方式。據美國Ponemon Institute 與Akamai Technologies憑證填充攻擊報告,從2017年11月至2018年6 月,惡意登入嘗試超過了300億次,憑證填充攻擊事件與嚴重性,持續惡化。
過去幾年資料外洩事件,也有不少後遺症,加上不少用戶習慣了重複使用相同密碼。趨勢科技團隊預期,2019年有更多利用憑證的詐騙交易。直接影響包括了盜用信用卡的里數回贈,甚至個人社交帳號遭入侵,以散播惡意評論。
企業方面,除了業務營運受波及與商譽受損,甚至可能因未盡妥善保護資料義務而觸犯法規遭受罰款。2019年以獲利為目的的網絡罪犯,以將利用歐盟通用資料保護法規GDPR的高額罰款,對企業展開各種攻擊,竊取資料並勒索贖金。
網絡釣魚取代漏洞攻擊
現今的裝置以及操作系統多元化,黑客不再透過以往單一軟件系統層面的漏洞,以攻擊套件攻擊,轉而以社交工程,廣泛進行網絡釣魚攻擊。
截至上年第三季,趨勢科技Smart Protection Network阻擋超過2億多個與網絡釣魚相關URL,較2017年增長近三倍;預期2019年會再創高峰。
有異於偽造企業往來信件格式的詐騙手法,黑客透過竊取員工社交網絡上資訊,提高網絡釣魚詐騙信件的可信性。黑客抓住消費者對重大活動的好奇心,如2020東京奧運等議題進行社交詐騙,也利用網絡紅人,鎖定網紅社交帳號嘗試入侵,以取得控制權,變為水坑式攻擊(Watering Hole)工具,植入惡意連結或訊息,以入侵粉絲賬戶。
趨勢科技報告指出,除了傳統信件,網絡釣魚手法開始出現在手機簡訊以及即時通訊,社交工程的新興網絡攻擊亦出現,如SIM卡劫持(SIM-jacking):犯罪者取得個人電話號碼和資訊,假冒手機用戶,向電信廠商技術服務人員申辦新SIM卡,再透過簡訊存取用戶帳號資料,盜用電子錢包。
ICS工業控制攻擊
企業營運比以往更依賴數據,ICS網絡須能與企業網絡連接,ICS網絡與各式機電組件結合,包括閥門、調節器、開關和其他機電設備,已經遍及能源、發電、製造業及運輸業等。黑客將不安全企業網絡設備當成跳板,移轉到最容易攻擊的 ICS 設備和資料庫,可造成交通網絡停運,能源供應中斷,甚至影響人身安全。
根據趨勢科技ZDI數據顯示,SCADA監控與資料擷取系統的漏洞大多出現在協助顯示資料與接受操作人員指令的HMI人機介面上,黑客透過入侵SCADA系統蒐集如廠房設備配置圖、關鍵門檻值(Critical thresholds)以及裝置設定等資料,再從事後續攻擊,除了可能造成相關營運中斷,更可能利用工業中的易燃物質或重要資產以威脅生命和財產安全。
隨著聯網時代來臨,網絡安全威脅的影響更無遠弗屆。該報告顯示,網絡威脅者開始利用人工智能發動針對性攻擊,透過AI預測企業管理層和特定對象的相關動向,進而取信周圍相關人士進行入侵;但同時資訊保安廠商亦已運用人工智能模擬偵測任何潛在的網絡威脅,提供企業與消費者多層次的防護。
抵禦黑客變化莫測的攻擊手法,李浩然提議用戶遵循資訊保安守則:「面對未來連網技術進步與跨平台連網趨勢,不能只依靠單一的資訊保安工具,應採取跨世代的威脅偵測技術,並對電郵或通訊軟件上訊息提高警覺,減低遭受網絡釣魚詐騙的風險,或可透過安裝防毒軟件協助保護個人資料與確保交易安全。除了定期更新密碼外,也可使用多重認證,以及密碼管理工具以保護憑證。」