讲到资安,一般人觉得离自己很遥远,但在 2017 年是资安事件频繁上新闻版面,影响各行各业。像是勒索软件肆虐,稍一不慎就会中了骇客的圈套,被迫付出赎金救回自己的档案;台湾发生第一起数位抢劫事件,所幸。趋势科技预测在 2018 年,在 2017 年猖狂的勒索软件将继续进化,变得多样化更难以预防,另外以获利为目的的商业勒索将更多。
勒索病毒更多样而且将捣乱公司运作
今年 Wanna Cry 以及变种的 Petya 侵入多台电脑,并且还有控制重要民生实施的电脑中招,影响不能说不大。不过 Wanna Cry 的风暴也提醒大家资料备分的重要不是没有。不过尽管大家有戒心了,趋势科技资深技术顾问简胜财表示,由于不能单纯加密档案就要求赎金,2018 年预测勒索软件会更为进化,并且会想办法取得内部电脑的控制权。然后,例如说搭配欧盟通用资料保护法 GDPR 措施实施,恶意散布公司的资料,使得在欧盟境内有业务的公司吃上大额罚金,权衡之下付赎金金额较低的情况下,就会与骇客妥协付赎金换取资料不外泄。而这一切就像过去 FAKEAV (Fake Antivirus,一款假防毒软件)和一些勒索病毒假借官方讯息恐吓受害者的情景,类似情景将再现。
IoT 有发展潜力但资安问题很大
随着硬件商重心发展物联网 IoT 装置,隐藏的危机也渐渐被大家知晓,Miria 和 Persirai 这两起大规范 DDoS 攻击,就是利用 IoT 装置当跳板发起。24 小时挂网的 IoT 装置,成为相当好下手而且有效的攻击与转攻击的目标。IoT 的众多特征,比如随时连网,预设密码未变更,卖出去后厂商几乎不会再更新,节构简单通常没有记录 log,假若被当跳板很难追查。2018 年我们预期将看到更多 IoT 弱点被发现,并且运用到入侵 IoT 装置,看到更多入侵事件。
与 IoT 装置状况类似的装置,如无人机、医疗装置、语言助理、穿戴式装置,也成为工具的重点,由于这些装置记录人体状况,甚至可能控制重要的维生设备,或是相当深入个人生活,造成被骇客入侵因而个资以及隐私资讯外泄。试想心律调节器有网络连线,被骇客入侵造成病患生命受到威胁,令人不寒而栗。
收益高但风险低的骇客手法,变脸诈骗与商业流程入侵将造成公司重大损失
想办法假冒别人身份,像是假冒 CEO 命令属下汇钱,这类诈骗钱财的手法越来越多,因为风险低却回报丰盛。依据 FBI 的资料,2018 年变脸诈骗 (BEC) 造成的损失,将高达 90 亿美元。而针对商业流程漏洞的商业流程入侵 (BPC) 需要长期布局公司里,特别是财务部分,在 2018 年时案件不会太多,不会像变脸诈骗容易登上媒体版面。
资安不再是科技议题,而是全方位影响大众
趋势科技台湾暨香港区总经理洪伟淦提及资安事件不再只是纯科技的议题,而是跨出科技圈,影响政治、社会等多方面层面。因为川普当选而引起争论的假新闻议题,预计在 2018 年的时候将继续蓬勃发展。尽管假新闻好像跟资安没直接关系,但运用的技巧与骗人点取恶意程式连结,或是钓鱼连结差不多。假新闻,或是更精切的不实宣传,或是带有政治宣传目的的网络宣传行动将更加细腻,并且善用过去从垃圾内容的作法当中学到的有效技巧。2018 年不少国家要举行选举,而社群网站如 Google、脸书承诺要抑制假新闻流传,仍然没有发挥太大效果,预计不久的将来我们还是会看到假新闻流窜,影响各国选举的状况。
▲ 2018 年全球不少国家举行选举,预估假新闻的流窜将影响选举结果。(图片 Source:趋势科技报告)
▲ 趋势科技预估等到真的有 GDPR 相关的事件发生的时候,公司才会重视资料安全保护。(图片 Source:趋势科技报告)
随着现实世界与数位世界越来越紧密,甚至重叠的状况,我们不再只能视资安事件是发生在数位世界,而是会影响现实世界。各项新科技如比特币、区块链、机器学习,也有可能被骇客运用,提升入侵技术,赎金不被轻易追踪,还有足迹不易被找到。除了获取高收益的攻击事件之外,未来 2018 年还会有试图影响大众舆论,影响整个政局,就像洪总所说,这可说是科技的逆袭吧!