網路犯罪組織專業化 罪犯發掘利用、留存和轉售高價值的資安漏洞 令2015年平均每星期發生一次零時差漏洞攻擊

【2016年4月19日臺北訊】賽門鐵克(納斯達克:SYMC)今日發布第21期網路安全威脅調查報告(Internet Security Threat Report,ISTR),揭示網路罪犯在組織上的轉變:網路罪犯已開始從企業中的標準常規,建立專業業務,從而提升攻擊企業和消費者的效率。這樣的全新型態的專業網路犯罪已涵蓋整個攻擊者的生態系統,擴大了企業和消費者所面對的威脅,導致網上犯罪事件攀升。

台灣的全球排名由2014年的第6位升至2015年的第5位,在亞太區的排名則與2014年一樣排名第3位,全球偵測百分比則由2.6%減至2.4%。此外,在台灣,遭受網路惡意軟體攻擊排名第26位,垃圾郵件是第3位,僵屍電腦則排名第3位。

賽門鐵克大中華區安全解決方案技術部、安全產品、安全諮詢服務技術總監羅少輝表示:「進階犯罪攻擊團隊現在已經達到擁有國家級水平的攻擊者。他們擁有廣泛的資源和技能高超的團隊,有效率地運作,並設有一般辦公時間,甚至享有周末和假期。我們現在甚至看到犯罪攻擊者亦建立了電話中心運作,營造更逼真的詐騙環境,提升效率。」

進階專業攻擊團隊是首批利用零時差漏洞的組織,並用於圖利,或在公開市場快速將之商品化並出售予更低層的罪犯。於2015年,被發現的零時差漏洞數目倍增至破紀錄的54個,較前一年增加125%,再度確認其在利潤豐厚的目標攻擊中的重要地位。同時,惡意軟體亦以驚人的速度增加,2015年便發現了4.3億個新惡意軟體品種。惡意軟體的數量之大,證明專業網路罪犯正利用其龐大資源以圖壓倒防禦系統和進入企業網路。

超過五億項個人資料紀錄於2015年被盜或遺失

資料外洩繼續對企業造成影響。事實上,大型企業在一年內成為攻擊目標平均較往年多出三次以上。此外,我們看到在去年公開報導的最大宗資料外洩中,受影響的紀錄在單一事故便達1.91億個。另外,亦有創紀錄的共九宗通報大型外洩事故。儘管有4.29億個身份被洩露,選擇不通報遺失紀錄數字的公司數目仍急升85%。賽門鐵克保守估計,包括未通報的外洩事故,全年遺失紀錄的實際數字高達五億。

羅少輝補充:「公司在外洩事故後選擇隱瞞重要資料之數目上升,是一個令人不安的趨勢。透明度對安全十分重要。若隱瞞受攻擊後的影響,這更加難以評估有關風險,亦難於改善用戶的安全部署以防禦將來的攻擊。」

加密技術現已被網路罪犯用作要脅公司和個人重要資料的武器

勒贖軟體於2015年持續肆虐,造成更大損害的加密勒贖軟體式攻擊錄得35%升幅。此更具攻擊性的加密勒贖軟體在攻擊時,會加密受害者的所有數位內容,並用以威脅受害者支付贖金。今年,勒贖軟體的影響由個人電腦擴散至智慧手機、Mac和Linux系統,而越來越多攻擊者以連接網路的裝置為目標,務求透過要脅有關裝置而獲利,反映企業會成為下一個目標。

按勒贖軟體數字統計,台灣在亞太區內和全球的排名分別為第10位和第45位,每日錄得14次攻擊;而澳洲在區內則排名首位,全球排名第9,每日錄得636次攻擊。

網路騙徒能讓用戶主動接觸奉上金錢

隨著大眾的網上活動增加,攻擊者亦越來越集中於利用現實和數位世界的交錯關係尋求利益。於2015年,賽門鐵克看到不少經過驗證而真確的詐騙再次興起。按社交媒體詐騙數字統計,台灣的數目佔全球詐騙總數的0.21%,亞太區內排名第12位,全球排名第53位。而印度在亞太區內則排名首位,佔全球詐騙總數的15.96%。網路罪犯重施偽冒技術支援詐騙故技,致使去年有關案件高達200%的增長。現在的不同之處在於詐騙者發送偽冒警告訊息至智慧手機等裝置,促使用戶致電聯絡攻擊者營運的電話中心,從而哄騙他們購買並無作用的服務。

專家提供的安全提示和訣竅

面對攻擊者的演變,企業和消費者可採取多項措施來保障自己。作為起步點,賽門鐵克建議以下最佳做法:

對於企業:

  • 準備充足:採用進階威脅智慧型解決方案,有助及時發現入侵跡象並快速回應。
  • 保持強大的安全態勢:部署多層端點安全防護、網路安全防護、加密、有效的身份驗證和採用具有聲譽的技術。與安全託管服務供應商合作,增強 IT 團隊的防範能力。
  • 作最壞打算:故障管理確保用戶的安全框架是可測量及可重複,得以優化,而且還可幫助用戶汲取教訓以改善安全部署。用戶亦可考慮與第三方專家合作,強化危機管理。
  • 持續提供教育和培訓:建立指導方針及企業的策略和程式,以保護個人和企業裝置上的敏感資料。定期評估內部調查團隊,進行演習,確保用戶能有效對抗網路威脅。

對於消費者:

  • 使用安全密碼:為帳戶設定獨特及保護性強的密碼。每三個月更改密碼一次,以及切勿重用密碼。此外,考慮使用密碼管理工具進一步保護用戶資料。
  • 點擊前想清楚:開啟錯誤附件可令惡意軟體進入用戶系統。除非是預期會收到的電郵和來自信任的寄件人,否則切勿檢視、開啟或複製電郵附件。
  • 保護自身安全:預防勝於治療。使用防毒軟體、防火牆、瀏覽器保護工具和可靠的網上威脅防護工具等互聯網安全解決方案。
  • 慎防恐嚇軟件:聲稱免費、已破解或盜版的軟件版本可令用戶暴露於惡意的軟體攻擊。社交工程和勒贖軟體攻擊使用戶認為其電腦受到感染,並誘騙購買無作用的軟體或直接付款將之移除。
  • 保護個人資料:用戶在網上分享資料會讓自己處於社交工程攻擊的風險。盡量避免在社交網路和網上分享個人資料,包括登入資料、出生日期和寵物名稱等。