近日趋势科技的 2018 年安全年度预测报告便指出,随着人们透过不安全网络进行联机和互动的情况越来越普遍,黑客将以“锁定数字勒索获利模式”、“仰赖漏洞为攻击管道”、“抢搭机器学习与区块链热潮发展新攻击技巧”三大手法发动网络攻击,黑客攻防进入新层次。因应更加猖獗的网络犯罪行为,企业应采纳多层式的跨世代防御策略,强化企业内部安全意识,提升安全防御层级。消费者使用数字装置上网时更应重视安全防护,确保个人机密资料及财产多一层保护。
锁定数字勒索获利模式,针对性勒索将成宠儿!
趋势科技观察过去几年,网络犯罪手法已由间接诱骗用户的账号密码,转向直接勒索钱财的「数字勒索」为主,黑客利用勒索病毒威胁受害者付钱赎回数据或透过变脸诈骗 (Business Email Compromise,简称 BEC) 手法进行商业诈骗,以获得高利润报酬。
回顾 2017 年,从 WannaCry、Petya 到 BadRabbit,勒索病毒风暴席卷全球企业端及消费端,显见黑客攻击手法日益进步。专家预测,2018 年黑客将持续大量寄发勒索病毒信件,并进一步锁定特定可带来最高报酬的对象进行攻击,例如单一企业机构以中断营运为威胁,试图从中盈利。由于勒索病毒手法趋向纯熟,促使其他类型的数字勒索攻击也更加猖獗、从而发展出多样且庞大的诈骗手法。
其中,变脸诈骗 (BEC) 快速、程序简单的特性,加上企业组织架构信息容易取得,将持续成为黑客喜爱攻击手法。专家预计变脸诈骗 (BEC) 案件在 2018 年只会增加、不会减少,甚至恐造成高达 90 亿美元的全球损失。原因除了有企业普遍对变脸诈骗及其手法的认识越来越高,通报数量有逐年成长的趋势外,更重要的是变脸诈骗所仰赖的网络钓鱼手法,长久以来依然屡试不爽,使变脸诈骗成为高效率的赚钱工具。
此外,预计 2018 年五月上路的欧盟“通用数据保护法规 GDPR”,也可能遭黑客利用发展勒索新手法,黑客可从各公司公开的财务信息计算出 GDPR 对其最高的罚锾,得到对应的赎金价码后透过窃取个人资料进行勒索,将使得数据外泄攻击与勒索情况增加,专家推断 GDPR 将成黑客手段,再现过去 FAKEAV (Fake Antivirus,一款假防病毒软件)和一些勒索病毒假借官方讯息恐吓受害者的情景。
物联网环境成熟,黑客利用物联网装置漏洞为管道积极发动网络攻击!
专家亦预测在物联网时代下,环境日益复杂,未来市场将揭露更多 IoT 漏洞。而黑客将利用 IoT 装置建立代理转跳节点,隐藏所在位置和网站流量,逃过执法单位的追查。专家提醒生物黑客的真实案例将在医疗与穿戴装置中上演,例如心律调整器的生理监视器可能遭黑客拦截。此外,近期比特币价格最高冲破 19,000 美元,创下空前新高,也可能吸引更多黑客透过控制物联网联网设备进行比特币挖矿。
抢搭机器学习与区块链热潮,发展新攻击技巧!
除攻击模式趋向纯熟,黑客思维与攻击手法也将突破传统框架。专家预测随着机器学习技术发展,此一新兴科技恐使黑客藉以利用提升其躲避传统网络安全防护的技巧。例如,研究人员虽已在探讨机器学习应用在流量监控与侦测潜在性零时差漏洞攻击的可能性,但网络犯罪者运用该技术抢先发现零时差漏洞也不无可能;而区块链机制因很难遭到未经授权的变更或刻意篡改,随着其中交易数量越多,整个序列就变得越复杂而难解,黑客也可能利用区块链的技术让攻击来源更难被追踪。
趋势科技 2018 年安全预测报告各大重点摘要如下:
-透过勒索病毒获利的模式,仍是 2018 年网络犯罪的主流,其他型态的数字勒索也将进一步发展。
-网络犯罪集团将探索新的方式并利用物联网 装置来达成目的。
-2018 年,全球因变脸诈骗所带来的损失将超过 90 亿美元。
-网络宣传行动将更加细腻,并且善用过去从垃圾内容的作法当中学到的有效技巧。
-歹徒赶搭机器学习与区块链技术的潮流,发展出新的攻击技巧。
-许多企业都将等到第一起重大诉讼事件出现之后,才会采取明确的动作来因应通用数据保护法 GDPR。
-企业应用程序及平台将有被篡改或遭到漏洞攻击的危险。
文章来源:腾讯科技