更具策略:針對性攻擊提升投資回報!駭客將全面放棄亂石投林手法

更具策略:針對性攻擊提升投資回報!駭客將全面放棄亂石投林手法

一直以來,駭客的攻擊都十分厲害,然而大型的成功案例告知我們,駭客多數都是採用亂石投林手法來發動具知名度的攻擊。隨著合作模式以及資金轉移的方式愈來愈保密及成熟,現時駭客組織已變得更具規模,並更有計劃地針對不同的企業發動攻擊。

根據趨勢科技最近發表的 2017 年資訊保安回顧報告便指出,在 2017 年,勒索程式、加密虛擬貨幣挖礦程式,以及商業電郵詐騙 (BEC) 的數量持續攀升,網絡犯罪集團不斷改良其針對性攻擊手法以提升利潤。這趨勢將延續至 2018 年,而且隨著新的歐盟通用資料保護法規即將推行,歹徒將開始鎖定需要遵守這項法規的企業。

這份 2017 年資訊保安回顧報告題為「似是而非的網絡威脅」,預測了網絡犯罪集團已開始逐漸放棄利用漏洞攻擊套件亂石投林的手法,轉而改用更有策略的針對性攻擊來提升投資回報率。依如此形勢來看,不法人士很可能會開始勒索一些需要遵守最新歐盟通用資料保護法規 (GDPR) 的企業,他們會先根據網絡公開資訊計算出目標企業在發生資料外洩時可能面對的最高罰款金額,然後再入侵該企業並要求一筆低於該罰款的贖金,迫使該公司管理層乖乖付錢。

除此之外,這份報告也指出,勒索程式家族數量從 2016 至 2017 年成長了 32%;商業電郵詐騙 (BEC) 攻擊數量在 2017 年首兩季翻了一倍;加密虛擬貨幣挖礦惡意程式數量也急速增加,至 2017 年 10 月已突破 10 萬關卡。

另一項日益嚴重的資訊保安威脅是含有系統漏洞的物聯網 (IoT) 裝置。專家在 2017 年全年偵測到 4,560 萬次以上的加密虛擬貨幣挖礦活動,佔所有物聯網活動中相當高的比例。未來軟件漏洞仍將持續成為歹徒的攻擊目標,趨勢科技 ZDI 漏洞懸賞計畫及其 3,500 多名獨立資訊保安研究員在 2017 年總共發現並揭露了 1,009 個新的漏洞。