2014年5月28日星期三

惡意越權廣告程式App危機首位


通過射頻識別等訊息感測技術,讓設備裝置連至互聯網,實現智能化識別和管理的物聯網(Internet of Things,IoT)概念近年崛起。物聯網無疑為企業及終端用戶帶來無比便利,但同時也為黑客開啟了方便之門,令企業保安備受威脅。在外國,近年便先後出現黑客經由空調系統、點餐系統和銷售點(POS)終端機等,輾轉入侵最後成功操控或攻擊企業主機的案例。

趨勢科技上周發表的「2014 年第一季資訊保安報告:網絡犯罪發動奇襲」,同樣指出網絡罪犯正積極開發更多不同攻擊手法及對象,以牟取暴利。今季最新的攻擊目標,包括針對POS終端機,以及利用災難事件作誘餌的進階威脅等。此外,流動裝置惡意程式與高風險 App 程式的數量,已於第一季突破200萬大關,其中,越權廣告程式(Aggressive adware)的數量,更已超越去年榜首的高收費服務盜用程式。趨勢科技香港區技術總監侯振業表示:「企業對於針對性目標攻擊仍未有良好對策,而這些攻擊可能直接針對能源、金融、醫療、零售產業,或重大基礎建設,事實上,任何能提供龐大回報的高價值目標,都是歹徒下手的目標。」

流動裝置威脅激增

相較去年,流動裝置威脅以更快的速度增長,惡意與高風險程式數量,在今年第一季已突破200萬大關。原因可能是不同大型電訊商近期紛紛調低文字增值服務收費,網絡罪犯認為盜用這些服務的獲利能力,已不如其他犯罪工具,因此將注意力轉移至發布越權廣告程式,以便將威脅延伸至更多用戶。

此外,近年大熱的虛擬貨幣比特幣亦成為網絡罪犯的目標之一。比特幣體制成熟,惹來網絡罪犯垂涎。今年3月的BitCrypt勒索程式,便專門盜取如比特幣的各種數碼貨幣,全球亦錄得多宗比特幣交易遭搶劫或盜竊的案例。相反,處理真實貨幣的網上銀行,惡意程式數量竟較2013年底大幅降低。專家相信,去年底的高額數字,應是網絡罪犯針對歲末佳節購物熱潮而致。

物聯網漏洞處處

第一季資訊保安報告除發現更多社交工程詐騙外,物聯網市場上的多款裝置也成為研究人員的焦點,並在裝置上發現了一些明顯漏洞。例如,Tesla Model S 電動房車,因完整行動連線科技而獲得大量媒體關注,但也因此讓該車容易遭到黑客攻擊。此外,一些智慧型連網電視如 Philips Smart TV經分析後發現,廠商將其Miracast密碼刻錄在某些 2013 年機型的韌體當中,任何人只要在一定距離內,都能遠端將畫面播放到該電視上。監視攝影機也曾遭入侵,這些行為不只是為了盗取用戶私隱資料,更是為了牟利。

另一方面,美國出現不少POS系統遭滲透的消息,其中以零售與旅館業尤甚。而知名零售商Target,以及南韓信用卡公司內賊事件,均是針對性目標攻擊成功的犯例,凸顯了企業建置客製化防禦策略的重要性。



沒有留言:

發佈留言