人們常說,生活中唯一不變的就是改變。在網路安全的領域中,這絕對是金科玉律。試圖保護數位世界的人們與試圖發動攻擊的人們之間,一直在進行著一場永無休止的貓捉老鼠遊戲。
第 20 期賽門鐵克網路安全威脅研究報告 (ISTR) 顯示,網路攻擊者正透過綁架公司的基礎架構來滲透網路,同時也會透過一般使用者的智慧型手機和社交媒體從他們身上賺取不義之財。
由於轟動的資料洩漏事件不斷成為新聞頭條,相較於過去,人們也愈來愈警覺到他們的「風險因子」,不過,還是有許多人還未採取行動,或是仍然採用舊式的戰術來對抗攻擊,而非正面迎戰攻擊者。
在 2014 年,我們觀察到攻擊者會透過常見程式的木馬化軟體更新程式並耐心等待他們的攻擊目標來下載,然後欺騙企業讓他們自行受到感染。一旦受害者下載了軟體更新程式,攻擊者就能無拘無束地存取該公司的網路。高度鎖定目標的魚叉式網路釣魚攻擊依然是滲透網路最常見的戰術,整體攻擊次數增加了 8 個百分點。去年最有趣的現象就是這些攻擊的精確度。魚叉式網路釣魚攻擊利用了比以前還少 20% 的電子郵件,就能成功入侵目標,並結合了更多的順道下載惡意程式及其他的網頁式攻擊。
我們也發現攻擊者正在:
惡意程式建立的數量正在增加 正當這些進階的攻擊佔據新聞頭條時,我們也必須留意惡意程式的普遍性和持續成長的力道,在 2014 年,惡意程式的數量增加了 26%。事實上,去年有超過 3 億 1700 萬支全新的惡意程式,相當於幾乎每天出現 100 萬支惡意程式!
賽門鐵克觀察到惡意程式不僅在數量方面增加,在品質方面也成長了。惡意程式作者仍持續尋找可以讓他們大快朵頤的新平台,以及能夠避免偵測的新方法。2014 年,我們發現具有「虛擬機器感知能力」的惡意程式達到 28%,創下高峰。這對於依靠虛擬沙箱來觀察及偵測惡意程式的安全研究人員而言,無疑是敲響了一記警鐘,因為虛擬環境並不能提供任何層級的防護能力。
數位敲詐正在崛起:在 2014 年被當作人質的裝置增加了 雖然大多數人會將「敲詐」一詞和好萊塢電影或黑幫老大聯想在一起,但網路罪犯已經開始利用勒索軟體將敲詐轉變為獲利豐厚的企業,攻擊各種大型與小型目標。
在 2014 年,勒索軟體攻擊成長了 113%,主要是由於加密勒索軟體攻擊增加了 4,000% 以上造成。不像傳統的勒索軟體會假裝成執法單位對竊取來的內容要求罰金,加密勒索軟體則是劫持受害者的檔案、照片和其他數位媒體人質,完全不掩飾攻擊者的意圖。受害者付了 $300 到 $500 美元不等的贖金後,攻擊者就會提供解密其檔案的金鑰,但是並不保證他們的檔案就會被釋放。
雖然這些攻擊以往只會加害個人電腦,但我們也觀察到有愈來愈多針對其他裝置的勒索軟體如雨後春筍般出現。最值得一提的是我們在 2014 年首次在 Android 裝置上發現的加密勒索軟體。
重拾您資料的掌控權 看起來似乎攻擊者在每一方面都具有壓倒性的優勢,但隨著他們持續進化,我們也一樣在進步。現在,您就可以採取許多簡單的步驟,讓您迎頭趕上、甚至領先攻擊者。
對於企業:
對於客戶:
欲知更多有關 ISTR 的資訊或閱讀完整報告,歡迎造訪以下網站:symantec.com/threatreport。