駭客要錢,所以在臺灣便鎖定有利可圖的金融業,作為主要入侵的產業;但是,駭客除了勒索錢之外,2018年要舉辦國會議員與總統大選的國家,都有可能遭到駭客操弄假新聞的影響,不可不慎。

根據趨勢科技日前揭露的一份臺灣各產業遭到駭客入侵的統計資料,2017年臺灣金融業遭到駭客入侵的比例,是各產業之冠,其次為政府機關和高科技製造業。臺灣趨勢科技技術顧問簡勝財表示,駭客要錢所以鎖定金融產業的網路犯罪,取代針對政府機關的APT攻擊,成為駭客入侵的主要原因。

駭客要錢的網路犯罪型態,成為主要入侵的原因

從2016年下半年,駭客入侵金融業的案件數量開始增加,簡勝財表示,駭客主要是以入侵金流相關系統和儲存大量個資系統為主,到2017年,駭客入侵金融業的比例達28%,比政府單位(25%)和高科技製造業(22%)高。

早期的駭客入侵多鎖定政府機關要資料為主,但現在駭客轉而在意獲利與否,因此,簡勝財指出,駭客除了入侵容易拿到錢的金融機關外,商業流程入侵(BEC)的變臉詐騙手法,更是另外一種駭客獲利的管道。根據統計,2017年變臉詐騙造成的損失高達91億美元,比2016年造成53億美元的損失,增加將近9成。

他也說,駭客可以透過商業流程詐騙獲得高額的金錢,所以會有耐心長期策畫如何入侵企業的系統,駭客會透過新增、修改或刪除一些資料或攔截並竄改交易資料,受駭企業一旦沒有留心,執行遭到竄改或未經授權的交易時,網路犯罪集團就可以收到錢或商品獲利。

此外,在2017年同樣造成許多政府企業損失的勒索軟體,尤其在5月份於全球150個國家爆發的勒索蠕蟲的攻擊事件,他認為,到了2018年仍然是網路犯罪的主流,但手法上,駭客則會利用針對式APT攻擊的手法,開始對企業發動勒索病毒攻擊。

簡勝財也說,最常見的手法除了大量寄發勒索病毒的信件外,也可能癱瘓企業和生產線設備,而即將在2018年5月正式生效的GDPR(歐盟通用資料保護法),因為具有高額的罰款,駭客也可能因應歐盟即將實施GDPR,而利用外洩的個資勒索企業支付贖金。

駭客也將鎖定物聯網裝置,達成網路犯罪目的

簡勝財指出,駭客會利用最新物聯網裝置總是連網的特性策畫各種攻擊,除了這些物聯網裝置在設計上就有很多的漏洞可供駭客利用外,對駭客而言,低安全性的物聯網裝置更容易打造物美價廉的傀儡網路(Botnet)大軍,發動DDoS(分散式阻斷式攻擊)的成本比操控電腦組成的傀儡網路更低。

更重要的是,他說:「這些物聯網裝置一旦上線後,經常處於沒有人管、也沒有人在乎安不安全的狀態,只要裝置還可以動就足夠了。」所以駭客利用這些物聯網裝置建立許多中繼站,或者是入侵無人機以劫持敏感性資料,或者是鎖定穿戴式與醫療裝置取得生物資訊,甚至是入侵智慧語音助理造成住家被闖空門的風險等,也都可能成為2018年常見的物聯網安全的入侵方式。

2018年舉辦國會與總統大選的國家,不可忽略假新聞對選情影響

美國大選時的各種假新聞事件如何深刻影響美國選舉結果,讓人印象深刻。簡勝財認為,在2018年有很多國家都會舉行國會議員或總統選舉,就有可能受到假新聞而影響選舉結果,這也成為急需關注的資安風險之一。

他進一步指出,駭客從以前發送垃圾郵件的方式中,學習到更多更細緻的網路宣傳活動的技巧,除了撰寫並發佈假新聞,針對特定關鍵字或文章進行監控外,甚至可以做到操控網路民調與投票結果,花錢買粉絲更不是問題,常見的買粉絲的金額,只要花29美元(約新臺幣1,000元)就可以買到5千名的粉絲追隨者,但如果要花錢買10萬名粉絲追隨者,甚至只要275美元(約新臺幣8,500元)就可以達成目標了。從這樣的價目表也可以發現,透過駭客去操控網路輿論和發佈假新聞的成本,價格其實非常的低廉。

當各行各業利用機器學習成為一種主流,資安業者也不例外,但簡勝財表示,駭客也同樣注意到機器學習可能對黑色產業帶來的危害。他指出,當資安公司利用機器學習方式,提高防毒軟體對惡意程式的偵測率時,也開始有一些勒索軟體,例如Cerber等,開始學會規避防毒軟體如何利用機器學習的偵測方式,以降低勒索軟體被防毒軟體偵測到的機會。未來,機器學習如何成為資安業者對抗黑色產業鏈的致勝武器,將是所有資安業者必須積極面對的共同議題。

 


Advertisement

更多 iThome相關內容