行之有效的入侵方法、網絡罪犯利用人性弱點賺取穩定收入!
行之有效的入侵方法、網絡罪犯利用人性弱點賺取穩定收入!
現時從事駭客,技術當然重要,不過要成功的話,懂得「食腦」想想人性的弱點來進行入侵計劃,往往才是最為有效的。Verizon 的《數據失竊調查報告 2016》便明確指出,網絡罪犯仍以「網路釣魚」和勒索軟件等常見攻擊手法,繼續利用人性弱點犯案。
例如報告中便提及,以勒索軟體進行攻擊的個案正在上升,比 2015 年增加了 16%,而當中發動勒索軟件的最主要方法,就是通過一些虛假的訊息來完成的。另外,報告中亦提及今年至今已有 89% 的攻擊與搾財或間諜活動相關,雖然當中一些網絡漏洞修補程式已存在多月或甚至多年,但大部分網絡攻擊的入侵點,都是從未修補過的保安漏洞。事實上,85% 成功的網絡攻擊,都是利用常見的漏洞。
另外,報告亦顯示 63% 的數據失竊事件都涉及使用容易破解、預設或被盜取的密碼;當中 95% 的數據失竊及 86% 的保安事故可歸納為九種犯罪橋段。換言之,駭客只要簡單的結合虛假訊息誘使用户開啟惡意軟件,而惡意軟件通過對已知漏洞的判斷,並就已知漏洞嘗試攻擊,成功機會極高!這是由於實在太多用戶是不會及時更新的,所以即使是已知漏洞往往亦成為最容易進行入侵的途徑;再加上由於很多用戶的密碼都比較簡單,因此即便系統設有密碼,亦十分容易通過字典式的方式進行爆破,輕鬆完成入侵工作;而近期的勒索軟件便正正完美地運用了上述的各種,輕易的讓駭客們成功入侵並持續賺取到穩定的收入。
「網絡釣魚」成為頭號顧慮
所謂「網絡釣魚」個案,即終端用戶收到假冒其他身份的騙徒電郵,數字在新一年大幅增加。令人擔憂的是,今年有 30% 的釣魚郵件被打開,相比 2015 年的 23% 有明顯上升。而被點擊的郵件中,13% 更打開了惡意附件或連接,讓網絡罪犯得以透過惡意軟件犯案。
過往多年,網絡釣魚主要僅涉及網絡間諜活動,但在 2016 年的報告中,騙徒已可利用這些方法迅速攻陷電腦保安防線,而且將攻擊鎖定個別人士或機構。在各項人為錯誤中,也包括機構本身犯下的錯誤。這類統稱為「其他錯誤」的橋段,佔本年保安事故首位。當中,26% 涉及把敏感資料發送到錯誤的收件人。這類「其他錯誤」也包括公司資料處理不當、IT 系統配置錯誤,以及手提電腦和智能電話等失竊等。
另一引起關注的是網絡犯罪的速度。在 93% 的個案中,攻擊者只需幾分鐘或更短時間便可把系統攻陷;而在 28% 的個案中,相關數據在幾分鐘內便被偷取。與 2015 年的報告一樣,今年報告中手提電話及物聯網裝置被入侵的情況不算嚴重。但報告指出,針對電話和物聯網攻擊的概念並非虛構,這些器材的大規模數據失竊將來也很大機會發生。換言之,各機構對智能手機和物聯網器材應繼續保持警惕,及對裝置加強保護。
另外,報告提及針對網絡程式的攻擊成為數據失竊途徑的第一位,而當中 95% 的網絡程式攻擊都是以搾財為目標。
三路攻擊日趨普遍
今年報告提到一種新出現的三路攻擊正日趨普遍,而且已經影響到不少機構。這種攻擊包括:
- 發出附帶惡意連接或附件的釣魚電郵。
- 把惡意軟件下載至個人電腦,從而建立立足點,然後經其他惡意軟件來探取秘密及要盜取的內部文件(亦即網絡間諜活動),或把檔案加密以進行勒索。有時惡意軟件會透過鍵盤記錄來盜取多個應用程式的登入資料。
- 利用盜取的登入資料進行更多攻擊,例如登錄到銀行或零售商店等第三者網站。
研究人員指出,妥善執行基本防禦措施仍然比採用複雜的系統更爲重要。這些基本措施包括:
- 瞭解在你的行業內最普遍的攻擊模式。在電腦系統內應採用雙重認證,而且鼓勵用家在登入社交網絡應用程式時,也採用雙重認證。
- 盡快修補已知的漏洞。
- 監控一切輸入:審查所有登入記錄以偵察惡意活動。
- 為數據加密:如果被盜的器材已經加密,攻擊者要取得數據便會倍添困難。
- 培訓員工:特別在網絡釣魚日益嚴重的情況下,提升機構內的保安意識是關鍵所在。
- 熟悉你的數據,並施加相應的保護。另外亦應限制可以存取數據的人數。
《數據失竊調查報告 2016》是這個系列的第九份年度報告。今年的報告分析超過 2,260 宗經確認的數據失竊個案和十萬多宗保安事故,是自 2008 年報告出版以來最多的一次。報告亦分析一些發生超過 11 年的一萬多宗失竊個案和近三十萬宗保安事故。此外,爲了對整體網絡安全狀况有更全面的審視,報告的分析也兼及一些不涉及失竊的網絡攻擊個案。