如果有睇電視廣告,一定會對近年「核實電郵者身分,揭穿騙徒真面目」的警方廣告有印象。事實上,今天的黑客跟騙子已經差不多,同樣以博取信任來換取更大利益。Symantec 剛公布的互聯網安全威脅報告(ISTR)就發現,黑客由針對機構管理層(C-Level)改為攻擊保安措施相對較低的秘書或私人助理,甚至有黑客會假扮 FBI 等執法單位,向機構勒索「罰款」,本港機構要留意了。
今年首季已追上去年全年數字
Symantec 互聯網安全威脅報告(Internet Security Threat Report, ISTR)是該公司每年發表的權威資訊保安報告,為公眾及企業提供全球互聯網威脅活動趨勢及分析。Symantec 形容2013年為「超級洩密年」(Year of the Mega Breach),過去一年,網絡罪犯發動了一連串史上最具破壞性的網絡攻擊。報告顯示在2013年,全球資料外洩上升達 62%,洩漏約 5.52 億個身分,總數超過整個北美洲人口。
另外,2013 年全球前八大資料外洩事件中,每一次都造成至少 1,000 萬筆紀錄的損失;相較之下,2012 年卻只有一次相同規模的大量資料外洩事件,反映黑客放棄小額獲利的快速攻擊方式,轉而進行長時間潛伏,準備一次性的大規模攻擊計劃。
而出席發表會的香港電腦保安事故協調中心(HKCERT)高級顧問梁兆昌,更表示 2014 年首季該中心接獲的保安事故案例,幾乎已跟 2013 年全年數字相若。他警告本地機構不要以為只是外國才會受到攻擊,香港同樣也是黑客目標,本地機構不能掉以輕心。
秘書、私人助理最高危
Symantec 報告中提到,相比 2012 年黑客針對掌握最多公司機密的機構管理層(C-Level)來攻擊,2013 年黑客著眼在同樣有機會接觸大量公司機密,但保安水平卻較低的秘書或私人助理來攻擊。「由於所有人都知道管理層的 IT 保安重要,所以會花費很多資源在這上面,黑客攻擊自然困難。比較起來,秘書要處理很多機密文件,但卻往往沒有高度的保安措施保護,所以成為捨難取易的黑客針對目標。」Symantec 香港系統工程經理李輝說。
李輝提到,黑客會引誘秘書或私人助理打開夾雜惡意程式代碼的文件,事前會做很多背景資料搜集,例如掌握你的客戶資料和習慣,務求令騙局更逼真。政府廣告裡假扮「陳秘書」絕對不是誇張,而且黑客只是騙秘書「打開文件」,而不是入錢到可疑戶口,秘書相對會戒心較低,成功機會自然更高。
「黑客會夾雜內附惡意代碼的文件在郵件中寄給對象的秘書,然後扮成客戶公司的高層,打電話給秘書要求對方開啟。如果對方不是很熟識的話,秘書可能不想得失客戶下而開啟了文件,那秘書就會中招。惡意程式可能會潛伏偷取機密,亦可以作為跳板入侵機構管理層電腦,秘書在不知情下成為了黑客幫兇。」李輝說。
假扮 FBI 執法勒索
另外報告中亦到,近年以惡意軟件鎖上受害人電腦的勒索方式有回升趨勢,而且這些黑客不會再假扮防毒軟件引目標安裝,而是假扮成 FBI 等執法機關,要求受害公司「繳交罰款」才能重新開啟電腦,但大多數受害公司在付錢後都無法回復正常的。
「黑客以前會在網站裡彈出警告,說受害人電腦已『中了病毒』,要安裝他們提供的免費防毒軟件才能清除。但其實下載的是惡意軟件,安裝後就會鎖上了電腦,要向黑客繳交贖款才能開啟。但這些案例大多數都是付錢後都不能回復正常的。但由於愈來愈多人知道黑客這種手法,不會再中計,因此黑客就改變做法,假扮執法機關變相勒索。」李輝說。
「現在黑客在目標電腦裝了惡意程式後,就會用『你的電腦用了盜版軟件』或其他名義,鎖上目標的電腦,要求繳交『罰款』才能放行。」李輝說。由於很多公司都擔心被捕和惹上官非,加上沒想過黑客會假扮 FBI 來勒索,加上很多公司都有做過若干可能侵權的行為,心虛之下自然立即付款,讓黑客得逞。Symantec 建議企業教育員工,提供指導方針或防護資訊,以避免中計之餘,也不會自己大意而外洩機構的資料。