近年大型數據外洩事件頻生,如2013年Ashley Madison被黑客盜取3,700萬用戶的個人資料、去年480萬VTech的客戶資料外洩等,令大眾更關注數據安全。Verizon發表《數據失竊調查報告2016》,指出除成近期熱話的勒索軟件(Ransomware)外,網絡釣魚(Phishing)亦是全球用戶數據安全的最大威脅。
今年的報告分析超過2,260宗經確認的數據失竊個案和十萬多宗保安事故,當中發現89%的攻擊與搾財或間諜活動相關,而95%的數據失竊及86%的保安事故可歸納為九種犯罪途徑,包括:其他錯誤(17.7%)、內部或權限誤用(16.3%)、實物盜取或遺失(15.1%)、阻斷服務攻擊(15%)、犯罪軟件(12.4%)、網絡應用程式攻擊(8.3%)、銷售系統入侵(0.8%)、網絡間諜(0.4%)、支付卡資料讀取器(0.2%)。
九種犯罪途徑中佔本年保安事故首位的「其他錯誤」中,包含了人為錯誤及機構本身犯下的錯誤。當中,26%涉及把敏感資料發送到錯誤的收件人。這類「其他錯誤」也包括公司資料處理不當、IT系統配置錯誤,以及手提電腦和智能電話等失竊等,可惜不少機構依然對此無動於衷。
Verizon亞太區網絡安全總監黃財明表示:「報告中反映不少機構仍嚴重缺乏基本的防禦意識及措施,例如85%成功的網絡攻擊皆涉及已存在多月或甚至多年,企業卻從未修補過的保安漏洞。」
網絡釣魚個案持續上升
「網絡釣魚」個案指終端用戶收到假冒其他身份的騙徒電郵,這數字在新一年大幅增加。更嚴重的是,今年有30%的釣魚郵件曾被打開,相比去年的23%有明顯上升。而被點擊的郵件中,13%更打開了惡意附件或連接,讓網絡罪犯得以透過惡意軟件犯案。
多年來,網絡釣魚主要涉及網絡間諜活動,但在2016年的報告中,這手法已擴展至報告中提到九種犯罪途徑中的七種。網絡罪犯利用這方法可迅速攻陷電腦保安防線,而且將攻擊鎖定個別人士或機構。
幾分鐘內攻陷系統
報告亦關注近年網絡罪犯犯罪的速度。在93%的個案中,攻擊者只需幾分鐘或更短時間把系統攻陷;而在28%的個案中,相關數據在幾分鐘內便被偷取。相對而言,企業能在幾分鐘內發現數據外洩的個案僅僅3%,而在幾日後發現的佔17%,花上幾星期甚至幾個月才偵測到入侵的竟然佔了總數的83%。今年報告中手提電話及物聯網裝置被入侵的情況不算嚴重,而罪犯從盜取信用卡資料所得的盈利愈來愈少,因此他們轉而盜取用戶的個人資料及密碼、企業的設計圖及內部機密等,當中尤其以針對製造業為多。
沒有留言:
發佈留言