越权广告App成新危机
通过射频识别等讯息感测技术,让设备装置连至互联网,实现智能化识别和管理的物联网(Internet of Things,IoT)概念近年崛起。物联网无疑为企业及终端用户带来无比便利,但同时也为黑客开启了方便之门,令企业保安备受威胁。在外国,近年便先後 出现黑客经由空调系统丶点餐系统和销售点(POS)终端机等,辗转入侵,最後成功操控或攻击企业主机的案例。
流动装置威胁激增
趋 势科技上周发表的「2014年第一季资讯保安报告:网络犯罪发动奇袭」,同样指出网络罪犯正积极开发更多不同攻击手法及对象,以牟取暴利。今季最新的 攻击目标,包括针对POS终端机,以及利用灾难事件作诱饵的进阶威胁等。此外,流动装置恶意程式与高风险App程式的数量,已於第一季突破200万大关, 其中,越权广告程式(Aggressive adware)的数量,更已超越去年榜首的高收费服务盗用程式。趋势科技香港区技术总监侯振业表示:「企业对於针对性目标攻击仍未有良好对策,而这些攻击 可能直接针对能源丶金融丶医疗丶零售产业,或重大基础建设,任何能提供庞大回报的高价值目标,都是歹徒下手的目标。」
相较去 年,流动装 置威胁以更快的速度增长,恶意与高风险程式数量,在今年第一季已突破200万大关。原因可能是不同大型电讯商近期纷纷调低文字增值服务收费,网络罪犯认为 盗用这些服务的获利能力,已不如其他犯罪工具,因此将注意力转移至发布越权广告程式,以便将威胁延伸至更多用户。
物联网漏洞处处
此 外,近年大热的虚拟货币比特币亦成为网络罪犯的目标之一。比特币体制成熟,惹来网络罪犯垂涎。今年3月的BitCrypt勒索程式,便专门盗取如比特 币的各种数码货币,全球亦录得多宗比特币交易遭抢劫或盗窃的案例。相反,处理真实货币的网上银行,恶意程式数量竟较2013年底大幅降低。专家相信,去年 底的高额数字,应是网络罪犯针对岁末佳节购物热潮而致。
第一季资讯保安报告除发现更多社交工程诈骗外,物联网市场上的多款装置也成为研究 人员的焦点,并在装置上发现了一些明显漏洞。例如,Tesla Model S 电动房车,因完整行动连綫科技而获得大量媒体关注,但也因此让该车容易遭到黑客攻击。此外,一些智慧型连网电视如Philips Smart TV经分析後发现,厂商将其Miracast密码刻录在某些 2013 年机型的韧体当中,任何人只要在一定距离内,都能远端将画面播放到该电视上。监视摄影机也曾遭入侵,这些行为不只是为了夺取用户私隐资料,更是为了牟利。 另一方面,美国出现不少POS系统遭渗透的消息,其中以零售与旅馆业尤甚。而知名零售商Target,以及南韩信用卡公司内贼事件,均是针对性目标攻击成 功的犯例,凸显了企业建置客制化防御策略的重要性。
