記者葉立斌/綜合報導
過去我們經歷各種大小病毒、木馬程式與近期的WannaCry勒索軟體等網路安全威脅,時值2019年,我們會經歷哪些資安危機?
資安防護廠商趨勢科技發表2019年資安年度預測報告,針對網路安全威脅與網路犯罪攻擊趨勢,提出三大重點警示:憑證資料外洩遭盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法以及工控系統的安全性持續受到威脅。
▲趨勢科技公布2019資安預測:資料外洩攻擊白熱化、網路釣魚攻擊件數明顯大增、工控系統威脅持續升高、企業與個人資安意識內化,採取跨世代防護技術多層式保護連網安全。(圖/趨勢科技提供)
首先,明年可能發生的狀況有:個人資料與憑證外洩攻擊激增。
趨勢科技解釋何謂「憑證填充攻擊」(Credential Stuffing):利用海量殭屍網路(Botnet),使用大量外流的電子郵件地址和密碼,自動化地以疲勞轟炸的方式不斷試圖登入各大熱門網站的攻擊方式。過去幾年來的資料外洩事件後續影響,加上民眾在各大網路服務上重複使用相同密碼的習慣,趨勢科技團隊預測2019年將有更多運用憑證的詐騙交易。
▲行動上網示意圖。(圖/資料照)
此種攻擊對於消費者所造成的直接影響可能出現在信用卡哩程累積回饋盜用,甚至個人社群帳號遭入侵利用散播惡意評論等;而在企業端方面,除了業務營運受到波及與商譽受損,甚至可能因未善盡資料保護而犯法。
趨勢科技表示,有別於以往偽造企業往來信件格式的手法,駭客將透過竊取員工社群網路上的資訊,提高網路釣魚詐騙信件的可信度,達到入侵企業的目的。
消費者方面,除了透過時事來進行社交工程詐騙之外,利用網紅的傳散能力,駭客將鎖定網紅的社群帳號並嘗試入侵取得控制權,駭客會透過這個控制權進行水坑式攻擊(Watering Hole),植入惡意程式的連結或是訊息,騙取追蹤粉絲點閱,連粉絲都會被駭,造成個人資料與財物損失。
報告另外指出,除了傳統信件,網路釣魚手法開始出現在手機簡訊以及通訊帳戶上,結合社交工程手法的新興網路攻擊開始出現,如SIM卡劫持手法(SIM-jacking):犯罪者取得個人電話號碼和資訊,假冒手機用戶,向電信廠商技術服務人員申辦新的SIM卡,透過簡訊存取用戶的帳號資料甚至盜用電子錢包。
▲技術顧問簡勝財。(圖/趨勢科技提供)
趨勢科技資深技術顧問簡勝財建議,民眾應培養資安意識,對於電子郵件或是通訊軟體上的訊息提高警覺,降低遭受網路釣魚詐騙的風險,或可透過安裝防毒軟體協助保護個人資料與交易安全,此外,除了定期更新密碼,使用多重認證的帳密保護措施,以及密碼管理工具以保護相關憑證資訊,也可幫助個人機密資料的保護。