黑客攻擊也搞 O2O? CloudSec 大會預言數碼犯罪將延展至現實

自從物聯網成為近年趨勢,不少資訊保安專家都擔心會成為黑客入侵跳板。這種想法並非杞人憂天,趨勢科技環球威脅傳訊總監 Jon Clay 在出席今年的 CloudSec 2015 大會前,就跟 Unwire.pro 分享了數碼犯罪將會延展至現實的預測。

自從物聯網成為近年趨勢,不少資訊保安專家都擔心會成為黑客入侵跳板。這種想法並非杞人憂天,趨勢科技環球威脅傳訊總監 Jon Clay 在出席今年的 CloudSec 2015 大會前,就跟 Unwire.pro 分享了數碼犯罪將會延展至現實的預測。

 

沒有全盤保安思維可能引來嚴重後果

互聯網保安會議 CloudSec 已踏入第五年,這個由趨勢科技主辦的資訊保安會議,今年主題是「面對意料之外.構建全新防禦」。由主題已看得到,論壇裡將探討現在出現的各種不可掉以輕心的新威脅,並會為機構提供解決之道。

隨著雲端應用、流動裝置等技術出現,雖然為機構帶來很多方便,但同時亦讓機構在資訊保安管理上有愈來愈多顧慮。趨勢科技環球威脅傳訊總監 Jon Clay 表示,雲端、流動裝置、物聯網等新科技,讓黑客有更多方式嘗試入侵,如機構沒有全盤的保安思維,將可能引來嚴重後果。

Jon Clay 表示,現在基本上各行各業都或多或少已採用雲端運算,由最普通的雲端儲存到業務關鍵應用,如 CRM、ERP 等都有公司採用。但他提醒機構把數據放上雲端,除了要找一家保安水平夠高的服務供應商,也要留意採用的工具和途徑,因黑客用會任何方法在整個流程中找尋漏洞攻擊,並非只是交托服務商就能安心。

 

借助物聯網繞道入侵更難防範

另一個必須留意的是流動科技。現在 BYOD 文化已深植各大機構,而且隨時一人手持多台數碼裝置,為機構的資訊保安帶來壓力。Jon Clay 指出,很多機構只留意到裝置連接到公司網絡時,會否把惡意程式帶入公司,或是把敏感的數據抄走。

但他提醒機構其實黑客會從不同的地方鑽空子,如果只是從這些方位來考慮是不足夠的。例如黑客要盜取機構的商業機密,並不限於想辦法破解機構的防火牆來入侵,只要任何一個管理層成員的手機被駭,黑客就可以在會議時偷偷打開收音咪錄音,而入侵手機卻可能比入侵機構的系統容易得多。

早前 Unwire.pro 就報導過,在剛過去的 Black Hat 黑客大會上,就有黑客展示了名為 Man in the cloud 的攻擊,透過惡意軟件感染用戶裝置即可隨意存取雲端上的檔案,用戶難以察覺。而這正符合 Jon Clay 提到來自流動裝置、針對雲端攻擊的趨勢。

 

利用大數據和社交工程增加成功機會

Jon Clay 亦提到黑客已經會利用 Big Data 和社交工程來增加數碼犯罪的成功率。現在機構會利用 Big Data 來收集分析顧客的習慣,繼而提供更貼身的服務,但原來黑客亦已利用 Big Data 來分析攻擊目標,從而提高目標中伏的機會。

收集數據的方式當然也包括社交網絡。近日香港很多電話騙徒出現,以前尚且是亂槍打鳥,但現在很多都針對性,先從不同渠道收集目標的個人資訊,再選擇一個目標更易相信的圈套出手(有上網購物的就用淘寶速遞、有中港生意的就中聯辦),而黑客的攻擊方式亦跟這些騙子別無二致。

 

犯罪者非常緊貼科技趨勢

Jon Clay 特別提到多個現在的人從未想像過,但卻不少已經成為現實的數碼犯罪威脅。Jon Clay 表示,這些犯罪者其實非常緊貼科技趨勢,會懂得善用新科技來提高成功機會,像前面提到的善用 Big Data 和社交媒體就是一個例子。

由於犯罪者比一般人更先進,因此往往比一般普通人想得更多,即使他們如何提防,如果未有想像過某些攻擊方式的話,仍然是難以防範的。因此今年 CloudSec 就會探討世界各地,針對企業不可掉以輕心的新威脅,以及相關的應對方案。

Jon Clay 預言的 12 項未來數碼威脅,不少其實已結合線上線下(O2O)的概念,叫人防不勝防。例如他就預測會有犯罪者利用社交媒體和物聯網來追蹤目標人物的動向,繼而在現實中綁架勒索,或是入侵無人留守的家居偷竊。

又或是透過用惡意程式駭入醫療儀器、醫院的配藥系統等,從而向目標人物攻擊,例如關掉維生裝置或改變服藥處方等。也可能會入侵公共設備、物聯網裝置來達到目的,如偷取數據、入侵目標系統,甚至是向人類施以物理傷害。

 

黑客攻擊方式無孔不入

問到這些數碼威脅是否反映黑客攻擊也有走 O2O 的趨勢,Jon Clay 坦言這並非新事物,只是隨著生活中科技應用愈來愈多,才令到這現象愈來愈明顯。他提到以前黑客盜用信用卡資料,也會借助網路購物來套取現金,這是否也是另一個 O2O 的模式?

他認為現在黑客攻擊的方式無孔不入,不管是在數碼世界還是現實世界都不能掉以輕心。機構不僅需要更妥善的策略和方案來克服即將來臨卻不可預期的保安挑戰,更需要有全盤的保安思維,從各方各面去留意有否漏洞,而他相信這些都會在 CloudSec 上得到解答。

CloudSec 2015 將於全球 8 個主要城市舉行,包括新加坡、香港、台北、吉隆坡、曼谷、孟買、首爾和倫敦。香港大會則在 8 月 11 日假灣仔會議展覽中心舉行。更多詳情,請瀏覽http://www.cloudsec.com 並通過Twitter (#CloudSec) 關注網上討論。