記者李鴻典/台北報導
趨勢科技日前發布年度資訊安全總評報告「2016 年資訊安全總評:企業威脅刷新紀錄的一年」,報告顯示2016 年網路威脅屢創新高,勒索病毒和變臉詐騙(Business Email Compromise,簡稱 BEC)越來越受網路犯罪集團青睞,成為歹徒勒索企業的利器。其中,勒索病毒造成全球企業損失金額高達10億美元(相當於新台幣300億元),且勒索病毒新家族數量較2015年相比成長 7 倍,而台灣遭受此攻擊次數更排名全球前20%,顯現駭客攻擊對企業的影響幅度有加劇趨勢。
趨勢科技和Zero Day Initiative(ZDI)零時差漏洞懸賞計畫共發現了765個漏洞。其中有678個是經由ZDI漏洞懸賞計畫收到、確認並通報給受影響廠商的漏洞。
「2016 年資訊安全總評:企業威脅刷新紀錄的一年」重點如下:
勒索病毒大幅成長:過去一年來,勒索病毒家族數量從原本的 29 個增加到 247 個。主要原因之一是勒索病毒的獲利率高。儘管個人或企業都已被建議最好不要支付贖金,還是有許多人屈服於勒索病毒,總損失金額高達10億美金。
變臉詐騙日益猖獗:事實證明,變臉詐騙就像勒索病毒一樣能為網路犯罪集團帶來龐大獲利,全球企業平均案例損失金額高達 14 萬美元。此外,這類詐騙也突顯出歹徒誘騙企業上當的社交工程技巧十分有效。
軟體漏洞層出不窮:趨勢科技和 Zero Day Initiative (ZDI) 所發掘的漏洞數量在 2016 年創下新高,其中發現最多的是 Adobe Acrobat Reader DC 的漏洞,為企業用監控與資料擷取 (SCADA) 系統常用的軟體。
Angler漏洞攻擊套件正式出局:就在50名網路犯罪分子遭到逮捕之後,曾經稱霸一時的Angler漏洞攻擊套件便逐漸退出江湖,最後銷聲匿跡。雖然沒過多久就有新的漏洞攻擊套件冒出來取代Angler的地位,但截至 2016 年底,收錄至漏洞攻擊套件的軟體漏洞數量還是減少了 71%。
銀行木馬程式和ATM惡意程式:網路犯罪集團一直都會利用 ATM 惡意程式、盜拷磁條以及銀行木馬程式來從事犯罪。但近年來隨著犯罪的多元化,歹徒現在也取得了受害者的個人身分資訊和帳號密碼,並藉此入侵企業網路。
Mirai殭屍病毒發動大規模攻擊:2016 年 10 月,有眾多安全防護脆弱的物聯網 (IoT) 裝置遭到駭客入侵並用於發動分散式阻斷服務 (DDoS) 攻擊,前後約有 10 萬台 IoT 裝置遭到入侵,並且導致 Twitter、Reddit、Spotify 等知名網站斷線數個小時。
Yahoo發生史上最大宗資料外洩:2013 年 8 月 Yahoo 發生了有史以來最大的一宗資料外洩,高達 10 億個帳號的使用者資料遭到外洩。然而該事件卻直到 2016 年 9 月該公司又再發生另一起資料外洩才連帶曝光,這一回又有 5 億個帳號受害。兩起案例再度掀起有關廠商資訊揭露義務以及客戶資料安全責任的討論。