2013 年流動技術和雲端將成新興攻擊目標
Photo by dustball (Flickr)
轉眼間又一年﹐在網絡安全事件上,今年黑客來勢洶洶,究竟來年黑客攻擊趨勢會如何?剛剛 Symantec 便公佈了 2013 年的趨勢預測,官方強調有關的趨勢預測是集思廣益,收集了數百名安全專家的意見和想法,並經過反覆討論和辯論,去蕪存菁才得出的,以下為五大 2013 年趨勢預測。
1. 網絡衝突常態化
在 2013 年及往後日子,國家、企業和個人之間的摩擦,將會對網絡世界產生舉足輕重的影響。網上間諜活動可以取得極佳效果,而就算東窗事發,肇事者也較易脫身。若任何國家對此有任何懷疑,只要回顧一下過去兩年來的眾多例子,便會對有關真實情況有更深入的認識。個別國家或人士所組成的群體,將繼續採用戰術性網絡攻擊行動來破壞針對目標所在受保護資訊或財產。專家預計 2013 年網絡世界將會出現漫天烽火,無論是國家、機構甚至個別人士組成的群體,均會利用網絡攻擊來展示實力及向對方「傳遞訊息」。
此外,專家亦預計網絡上將會出現更多針對個人及非政府組織的攻擊,例如支持某些政治議題的人士,或者與人摩擦的弱勢一方成員,均會成為攻擊對象。現時已可觀察到這類攻擊,主要是黑客群體針對一些觸怒了他們的個人或企業發動襲擊。
2. 勒索軟件成新興恐嚇手段
犯罪集團採用偽冒防毒軟件的網絡攻擊手法日漸式微,取而代之的是「勒索軟件」(Ransomware),這種全新、更狠辣的的犯罪模式將大行其道。勒索軟件放棄了慣常通過欺詐手段來企圖欺騙受害者的方式,而是更直接地採用恐嚇和欺凌的手段來勒索受害者的金錢。雖然這種「營運模式」已不是甚麼新鮮事物,但過往它與真實世界的綁架案面對同一問題,就是欠缺萬無一失的贖金收取方式,因此不會過於猖獗。然而,現時網絡罪犯已經發現了收取贖金的最好方法:網上付款方案,因此他們能夠肆無忌憚地以強硬手段對受害者進行勒索,省卻以謊言來欺騙目標。由於網絡罪犯再毋須依靠欺詐手段來騙取受害者的金錢,因此我們預計這種新興的勒索軟件將變得更加猖獗,造成更嚴重破壞。
在 2013 年,攻擊者將使用更專業的勒索手段,藉此刺激受害者的情緒,以及對所挾持的「人質」施以更難復原的破壞。
3. 瘋狂軟件日益失控
「流動廣告軟件」(Mobile adware)又稱為「瘋狂軟件」(Madware),不單對用戶帶來滋擾和影響,甚至有可能向網絡罪犯洩露用戶身處的地點、聯絡資料和裝置標識編號等資料。瘋狂軟件會趁用戶下載流動應用程式時潛入用戶的裝置內,時常會發出彈出式訊息、加入圖示、改變瀏覽器設定,甚至盜取個人資訊。
單計算過去九個月,暗藏高侵略性瘋狂軟件的流動應用程式已增加 210%。廣告網絡能夠合理地搜集用戶身處位置和裝置資訊,以便向目標用戶提供合適的廣告,因此我們預計更多企業將透過流動廣告帶動收入增長,令瘋狂軟件更加大行其道。通過「免費」流動應用程式來獲得金錢利益的方式,包括更具侵略性甚至潛在的惡意手段。
4. 社交網站拓收入惹危機
作為消費者,我們都十分信賴社交網站,不單在這些平台上分享自己的個人資料,甚至願意花費金錢為遊戲點數充值,或者購買真實禮品送贈親友。隨著這些網站開始尋找新方式開拓收入,例如讓會員購買和送出真正禮品,推動了社交消費的趨勢,同時為網絡罪犯提供了發動攻擊的新機會。
專家預計越來越多惡意攻擊會在社交網站盜取付款憑證(payment credentials),或者騙取用戶的付款帳戶資料和其他寶貴個人資訊,藉此欺騙社交網站平台。網絡罪犯或會利用偽冒的禮品通知或電郵,騙取用戶提供住址或其他個人資料。用戶提供這些資訊,表面上看似毫無傷害,亦不直接涉及金錢交易,但實際上網絡罪犯會互相出售或共享手上的資訊,如果把所有關於某一位用戶的資料結合起來,便可有能登入用戶手上的其他帳戶。
5. 網絡罪犯轉用流動技術和雲端
無論用戶去到哪裏,網絡罪犯也會聞風而至,流動裝置和雲端也不例外。流動平台和雲端服務很可能會成為 2013 年的熱門攻擊目標,一點也不令人意外。2012 年 Android 平台上的惡意軟件增長迅速,就是有力的證明。
此外,許多機構繼續容許未經妥善管理的流動裝置不斷存取企業網絡,甚至讀取日後可能會存放於其他雲端的數據,令流動裝置數據洩漏、網絡成為攻擊目標的風險顯著增加,因為用戶在手機安裝新的流動應用程式時,也可能會被惡意軟件入侵。
部分流動惡意軟件會重複其他舊有威脅的手法,例如盜取裝置上的資訊;它們也可能會把舊有惡意軟件的手法翻新。例如寬頻網絡尚未普及時,許多用戶通過調制解調器利用電話網絡撥號上網,當時一些惡意威脅會令電話撥打黑客擁有的 900 號碼,從而收取費用;時至今日,個別流動惡意軟件仍會透過發送收費短訊從中獲利的。專家肯定流動通訊將會在 2013 年繼續進步,很可能也會為網絡罪犯帶來新的攻擊機會。
舉個例子,隨著 eWallet 電子錢包平台日益普及,將會成為另一個黑客攻擊目標。流動通訊服務供應商和零售商戶不斷發展流動付款的方法,並開拓各種消費途徑,因此令流動裝置的價值與日俱增。我們看到威脅 Wi-Fi 用戶的 Firesheep 崛起,也將會看到罪犯利用惡意軟件劫持我們在零售環境內的付款訊息。一些獲科技新手廣泛採用的付款系統或許暗藏漏洞,令黑客有機會盜取有關資訊。
SSL 流動基礎設施的極限將會在 2013 年受到挑戰。流動運算應用將於 2013 年持續上升,令 SSL 流動基礎設施的負荷大增,另一個核心問題將會浮現:流動裝置瀏覽器上的互聯網活動,並不符合正統的 SSL 認證處理;而且許多流動互聯網應用均由安全性欠佳的流動應用程式處理,帶來更多風險,用戶將面對如中間人攻擊,令安全問題進一步惡化。