2016年1月至9月網路攻擊數量趨勢圖

圖片來源: 

Proofpoint

美國資安公司Proofpoint釋出第三季網路威脅報告指出,在第三季的網路威脅和網路攻擊強度,都比前一季更加劇烈。勒索軟體的形式和數量突破了過去的紀錄,以及銀行木馬開始鎖定特定銀行系統,來更能夠瞄準目標攻擊。另外,行動裝置,使用社群媒體。網路犯罪者開始朝向這兩種技術,誘拐使用者下載惡意程式和騙取身分認證。

釣魚郵件改用新附件格式夾帶Locky勒索軟體

根據報告顯示,夾帶惡意程式的電子郵件數量破歷史新高,比上一季成長了68%。甚至,97%的惡意郵件附檔都是勒索軟體Locky,這個比例第二季成長了28%。Proofpoint警告,勒索軟體Locky攻擊者使用更多種新的檔案附件格式,試圖繞過傳統防毒軟體的偵測,例如像是JavaScript格式檔案,一般民眾不熟悉這類檔案格式,因此往往能讓駭客得逞,成功在民眾電腦植入勒索軟體來加密資料。

目前,勒索軟體仍持續增加更多變種,不過,CryptXXX還是勒索軟體的大宗。因為,勒索軟體具有高度的破壞性,而且需要花很高的費用去解鎖,所以一旦出現新的變種,要檢測出來是甚麼勒索軟體,處理的過程是非常困難。

社交工程成為商業竊盜最常用的網路釣魚方式

銀行和商業網路竊盜的案件層出不窮,網路犯罪者常以商業郵件詐騙(Business Email Compromise,BEC)的方式取得內部資料,專門攻擊銀行系統的木馬程式,也越來越個人化和多樣化。特別是,沉寂很久的Trojan Dridex木馬,再度出現在大規模銀行網路攻擊中。

然而,該報告指出,這類商業郵件詐騙和網路釣魚,通常不是利用惡意程式入侵來竊取內部資料,反而是大量透過社交工程(Social Engineering)與內部員工進行互動、或是假冒身分來得到內部系統的登入權限。報告提醒,用傳統資訊安全工具檢測社交工程釣魚是非常困難的。

行動裝置與社交媒體成為網路釣魚主要攻擊對象

現在人們依賴手機的程度遠大PC,所以,網路攻擊者也開始鎖定行動裝置發動網路攻擊和網路釣魚。根據Proofpoint報告指出,許多惡意程式會植入在假冒的遊戲App、外掛程式或是其他跟遊戲相關的應用程式等。使用者不一定會從網路商店(如:App Store或Google Play)下載,可能會從任何一個網站下載,這表示使用者無法知道他們下載的應用程式是否安全。

行動裝置的攻擊套件和零時差漏洞攻擊大多鎖定Android和iOS兩大行動OS。報告指出,多數行動裝置內有10~20個有效的零時差漏洞,其中有30%恐造成嚴重的危害,例如允許攻擊者在遭感染設備上執行惡意程式。除此之外,Proofpoint報告指出,自從第二季以來,社交媒體網路釣魚的數量多了一倍,開始成為憑證釣魚和金錢釣魚攻擊的滋生地,攻擊者會透過網路釣魚騙取使用者的帳戶憑證。

在企業的網路安全上,因為員工通常會在工作場所使用自己行動裝置上網,而且社交媒體上的網路攻擊,不是屬於企業擁有的帳戶,導致大多數企業對於行動上網的威脅比較不重視,傳統的網路安全工具也難以發現。


Advertisement

更多 iThome相關內容