你的個資外洩了嗎?別以為,你不會成為被駭的那一位!「一位在跨國公司的員工,收到了一封附有發票附件的電子信函,幾分鐘後,她接到一通電話:麻煩請您處理一下發票。不疑有他,這名女員工,就打開附件,沒想到,就中獎了!」
賽門鐵克在4月30日公佈最新第19期全球網路安全威脅報告 (Internet Security Threat Report, ISTR)。報告指出,去年網路罪犯行為出現明顯變化,駭客放棄小額獲利的快速攻擊方式,轉而進行長時間潛伏,準備一次性的大規模攻擊計畫。
台灣賽門鐵克總經理宋仲玲指出,2013年網路安全威脅包括:2013年為巨量資料外洩之年;全新網路間諜活動崛起,社群網路讓隱私無所遁形;勒贖軟體超過5倍的巨大成長幅度;行動與社群媒體缺乏基本防護與危機意識的使用行為成為犯罪溫床;零時差漏洞攻擊,每8個網站就有1個重大弱點(漏洞),歷史高峰的數量超過前兩前總和;物聯網成新型態針對性攻擊的可能侵入點。
她回顧2013年台灣資料外洩事件指出,在去年2月23日發生活動網站被駭,知名手機大廠洩150萬個資;9月27日,中國大陸駭客利用網頁瀏覽器弱點對台灣等國發動攻擊;10月17日,史上最兇猛勒贖軟體肆虐台灣;10月28日,變種木馬病毒,利用網路釣魚鎖定攻擊台灣;11月25日,知名社群軟體詐騙新招,入侵好友帳號寄發認證碼;2014年起,則是智慧裝置串起物聯網,駭客攔截資料神不知鬼不覺。
宋仲玲說, 2013年整體網路威脅台灣名列全球第九名,在亞洲國家中僅次於中國大陸與印度;台灣的針對性攻擊有87%鎖定中大型企業251-2500人(相較於全國,同規模的企業僅占整體針對性攻擊的31%),其中批發業與製造業更是被駭客們鎖定針對性攻擊的前兩大產業。此外,台灣垃圾郵件的數量更是從去年全球的第十二名躍升,與殭屍網路的數量排名同列為全球第四名。
現今資料外洩的規模比起往年呈現大幅成長,讓企業的信任與商譽受到威脅。不論是信用卡號、醫療記錄、或是銀行帳號密碼等,有愈來愈多的客戶個人資訊遭受侵犯。根據報告指出,2013年整體全球網路資料外洩事件比起前一年增加了百分之62的成長,更造成5億5200萬筆個人資料曝光,這證明了網路犯罪對消費者及企業來說確實具有強大的威脅。另外,2013年全球前八大資料外洩事件中,每一件都造成至少千萬筆紀錄的損失;相較之下,2012年卻只有一次相同規模的巨量資料外洩事件。
台灣賽門鐵克首席技術顧問張士龍指出,每一個資料受害導致身分曝光的平均筆數約為470萬筆;裝置遺失或是失竊為資料外洩的主因中第3名,且占資料外洩事件的27%;在產業比例上,有58%的資料外洩事件為醫療保健、教育與政府部門。資料外洩內容上,則以真實姓名、生日、身分證字號最為嚴重,
跟2012年相比,全球針對性的魚叉式釣魚攻擊事件增加了百分之91,而且平均攻擊期間多了三倍。其中,企業的個人助理及媒體公關業者為前二大受駭客青睞的攻擊對象,網路罪犯利用這些對象當跳板,對具有高價值的目標進行攻擊,例如知名人士或企業高層。
在個人方面,38%的智慧型手機使用在過去12個月遭遇過行動網路犯罪,有50%未採取行動裝置的基本保護,例如密碼、防駭軟體或備份檔案。張士龍也說,行動裝置及社群媒體的虛假販售類詐騙持續成長;而新的報告也證實,除了電腦與行動裝置外,其他透過網路連結的物聯網,像是智慧型冰箱、嬰兒監視器等,也都受到網路攻擊的威脅,他形容,以後說不定連免治馬桶都可能要加密碼!
雖然智慧型裝置、Apps、及其它線上服務讓網路罪犯有機會拿到更多的資料,但是企業與消費者可以採取更好的自我保護措施,如巨量資料外洩、針對性攻擊、或常見的垃圾郵件也是需要採取保護的項目。張士龍強調,特別是對網路罪犯來說。具有潛力的獲利模式只會吸引更大規模的攻擊發生,不要認為公司小就沒事!不論大小型公司都需要再檢查、再思考及重新設計他們的資安措施的可能性。 在面對現今嚴重的資安問題,賽門鐵克建議企業採取這些措施:了解資料:保護措施必須針對資訊而非裝置或資料中心。了解敏感資料儲存的位置,這樣有助於找出最佳的保護政策及程序。教育員工:提供指導方針或防護資訊,包括公司在個人及企業裝置上保護敏感資料的政策及程序。採取更強化的資安措施:在資料流失防制、網路安全、終點安全、加密、強式授權制度、及防禦性措施等方面加強資安基礎建設,當然也包括檢視檔案的信譽評等技術。
消費者個人方面:善用智慧防護:安全防護從密碼開始。使用密碼管理軟體為你造訪的每一個網站去強化與建立獨特的密碼,並隨時保持你的個人裝置及智慧型手機上所使用的防護軟體處於最新狀態。提高警覺性:檢查信用卡對帳明細有沒有異常,留意不請自來或是非預期中的email,並注意過於誘人的線上優惠。了解您的溝通對象:熟悉跟你要求銀行或個人資訊的商家及線上服務的政策。若你不得不提供敏感資訊,最好不要隨意點擊email上的連結,而是直接瀏覽該公司的官方網站。
網路安全威脅報告提供一個年度的全球威脅行動概況與分析。此報告是以賽門鐵克的全球智慧型網路為基礎,提供最新攻擊、惡意程式活動、釣魚程式以及垃圾郵件攻擊趨勢分析資料和建議。
記者李鴻典/台北報導NOWnews – 2014年5月1日 下午12:24