2018 是人类历史上数据外泄最严重的一年,据星盾科技数据指出,截至 2018 年 9 月为止,全球遭外泄个资已高达 17 亿笔,大型数据外泄造成的损失金额约是2,600万人民币起跳,而全球每秒都至少有 900 笔数据正在外泄中。「根据我们的观察,造成个资外泄的手法以帐密填充、帐密窃取以及网络钓鱼大宗。除此之外,针对路由器漏洞的攻击、跨平台恶意程序攻击、 API 滥用,以及假冒行动赢咖4平台也助长个资外泄。」星盾科技创办人暨 CTO 林育民表示。
趋势科技在 2018 年发布的「2019 资安报告」中也提到,钓鱼软件的危害,将在 2019 年变得更为严重,截至 2018 年第三季, 趋势科技Smart Protection Network 已阻挡超过 2 亿多笔网络钓鱼相关的 URL,相较於 2017 年成长接近三倍;预期 2019 年会再创高点。
而《TechOrange》在 2019 年一月时,赴泰国参与以色列资安大厂 Check Point 年度峰会 CPX 360,在会中 Check Point 也不断强调未来资安将会迎来比过往更为严峻的态势。
由此可见,2019 年世界将面临全新的资安环境,挖矿病毒的兴起、钓鱼网站的泛滥,如何应对将成为企业上半年资安部署的重点方向。
美国国际数据集团 IDG 旗下的网站 CSO from IDG,提出了几个关於 2019 年资安环境的预测,《TechOrange》在此进行资讯整理。
黑客由勒索软件逐渐转向挖矿病毒,同时网络钓鱼也会变得更为「个人化」
随着犯罪分子转向其他方式以产生收入,勒索软件将逐渐减少。据 Kaspersky 报吿,2017 年至 2018 年间遭遇勒索软件攻击的用户,相较 2016 年至 2017 年期间下降了近 30%。不过勒索软件仍然是极大的威胁,它将成为一种更集中、更具针对性的攻击。
下降原因不外乎是寻求更有效的获利途径,首先是随机攻击下降,转向重大针对性目标。以勒索软件集团为例。在 2018 年期间,SamSam 针对 67 个不同组织的攻击证据,其中医疗保健是受影响最大的行业,占 2018 年勒索攻击的 24%。相较过去随机式的勒索,专家认为美国医疗保健系统容易中毒,且更有可能支付赎金。
另一下降因素是,犯罪分子发现了挖矿病毒,与其他更快速的赚钱方式。现成加密工具的数量和质量,让黑客不需要技术熟练也能轻易获利。根据 Kaspersky 报告,2018 年中经历过密码攻击的用户数量增加了 44.5%。而这种现象将在 2019 年继续扩散,恶意软件作者利用它们来破坏你的网络业务。
但并不表示个人化的攻击可以松一口气,相反地,黑客入侵电子邮件系统潜伏和学习,攻击者将蒐集更多关於你的资讯,发动假以乱真的「个人化」钓鱼邮件。他们使用他们学到的讯息,并利用定期沟通联络人之间的信任,发动针对性攻击。
