锁定数位勒索、物联网漏洞!趋势科技公开2018年资安因应政策
趋势科技公布2018年资安年度预测报告,指出随着人们透过不安全网路进行连线和互动的情况越来越普遍,骇客将以「锁定数位勒索获利模式」、「仰赖漏洞为攻击管道」、「抢搭机器学习与区块链热潮发展新攻击技巧」三大手法发动网路攻击,同时进一步公开 2018 年几项因应策略。
趋势科技观察过去几年,网路犯罪手法已由间接诱骗使用者的帐号密码,转向直接勒索钱财的「数位勒索」为主,骇客利用勒索病毒威胁受害者付钱赎回资料或透过变脸诈骗(Business Email Compromise,简称 BEC) 手法进行商业诈骗,以获得高利润报酬。
回顾2017 年,从WannaCry、Petya到BadRabbit,勒索病毒风暴席卷全球企业端及消费端,显见骇客攻击手法日益进步。趋势科技预测,2018年骇客将持续大量寄发勒索病毒信件,并进一步锁定特定可带来最高报酬的对象攻击,例如单一企业机构以中断营运为威胁,试图从中盈利。由于勒索病毒手法趋向纯熟,促使其他类型的数位勒索攻击也更加猖獗、从而发展出多样且庞大的诈骗手法。
其中,变脸诈骗 (BEC) 快速、程序简单的特性,加上企业组织架构资讯容易取得,将持续成为骇客喜爱攻击手法。趋势科技预估变脸诈骗 (BEC) 案件在 2018 年只会增加、不会减少,甚至恐造成高达 90 亿美元的全球损失。原因除了有企业普遍对变脸诈骗及其手法的认识越来越高,通报数量有逐年成长的趋势外,更重要的是变脸诈骗所仰赖的网路钓鱼手法,长久以来依然屡试不爽,使变脸诈骗成为高效率的赚钱工具。
此外,预计2018年五月上路的欧盟「通用资料保护法规GDPR」,也可能遭骇客利用发展勒索新手法,骇客可从各公司公开的财务资讯计算出 GDPR 对其最高的罚锾,得到对应的赎金价码后透过窃取个资进行勒索,将使得资料外泄攻击与勒索情况增加,趋势科技推断GDPR 将成骇客手段,再现过去FAKEAV (Fake Antivirus,一款假防毒软体)和一些勒索病毒假借官方讯息恐吓受害者的情景。
趋势科技预测物联网时代下,环境日益复杂,未来市场将揭露更多IoT漏洞。趋势科技也提醒生物骇客的真实案例将在医疗与穿戴装置中上演,例如心律调整器的生理监视器可能遭骇客拦截。此外,近期比特币价格最高冲破19,000美元,创下空前新高,也可能吸引更多骇客透过控制IoT联网设备进行比特币挖矿。
除攻击模式趋向纯熟,骇客思维与攻击手法也将突破传统框架。趋势科技预测随着机器学习技术发展,此一新兴科技恐使骇客藉以利用提升其躲避传统网路资安防护的技巧。例如,研究人员虽已在探讨机器学习应用在流量监控与侦测潜在性零时差漏洞攻击的可能性,但网路犯罪者运用该技术抢先发现零时差漏洞也不无可能;而区块链机制因很难遭到未经授权的变更或刻意篡改,随着其中交易数量越多,整个序列就变得越复杂而难解,骇客也可能利用区块链的技术让攻击来源更难被追踪。