過往一年全球各地發生了不少企業大規模資料外洩的網絡安全事故,而且不乏本地個案,例如本港電子玩具廠商 VTech 遭黑客入侵數據庫,500 萬筆客戶個人資料外洩,其中更包括 20 萬兒童資料;去年底凱悅酒店集團遭入侵支付系統,本港亦有三間酒店受影響。大型數據洩漏事件出現的頻率越來越密,專家呼籲企業應正視問題。
香港生產力促進局 (HKPC) 及轄下的香港電腦保安事故協調中心 (HKCERT) 昨日(1 月 20 日)在「香港資訊保安前瞻 2016」簡佈會上回顧了 2015 年香港資訊保安狀況,並預計 2016 年會有更多針對網站伺服器和流動裝置的網絡攻擊,而加密勒索軟件亦將趨向商業化、系統化,未來恐造就更多攻擊,呼籲各界及市民大眾加強網絡保安措施,以免蒙受損失。
「勒索軟件即服務」 勒索軟件系統化、商業化恐造就更多攻擊
HKCERT 去年共處理 4,928 宗保安事故,較 2014 年增加 43%。上升個案主要來自網絡釣魚攻擊,相關事故躍升 233%。當中由網絡罪犯利用本港的網頁寄存服務發動的「快閃」釣魚攻擊尤為矚目,佔釣魚事故 69% (1,375 宗)。另外,涉及個人流動裝置的資訊保安事故 (286 宗) 也較 2014 年增加 86%。
HKCERT 亦預計,近年不斷肆虐的加密勒索軟件攻擊在未來將更為頻密,香港電腦保安事故協調中心高級顧問梁兆昌表示,過去一年單是 HKCERT 處理的勒索軟件個案就有 31 宗,勒索軟件亦不斷變種令解密變得更為困難。
梁兆昌亦提到,近期更發現有網絡罪犯以「勒索軟件即服務」的概念,提供『加密勒索軟件租用服務』,讓普通罪犯也能租用服務自行定制勒索軟件,可包辦攻擊不同作業系統及管理贖金交付等服務,勒索軟件的系統化和商業化將造就更多勒索軟件攻擊。
提防 DDoS 攻擊及流動裝置個人資料外洩
生產力局總經理(資訊科技業發展)黃家偉展望 2016 年網絡保安趨勢表示:「預計網絡罪犯將繼續入侵有嚴重保安漏洞的網站及銷售點 (POS) 系統,從中盜取個人資料及信用卡號碼以圖利。」
黃家偉亦提到,除了勒索軟件外,通過 DDoS 攻擊的敲詐活動亦值得中小企注意,網絡罪犯會事先警告中小企或網站擁有人將發動 DDoS 攻擊癱瘓網絡,以此威脅受害者交付金錢。他表示中小企很難單靠自己的伺服器抵禦龐大的流量攻擊,建議中小企可向網絡服務供應商溝通尋求協助,而市面上亦有不少資訊保安公司提供解決方案可以過濾這類 DDos 的攻擊,保障網站的正常運作。
梁兆昌補充但當中小企收到這類敲詐威脅時不應輕易支付金錢妥協,這樣只會助長網絡罪犯的氣焰,而且也容易成為他們再次攻擊的目標。此外過往一年有不少黑客試圖在流動應用程式開發工具植入惡意程式碼,例如 Unwire.pro 曾報導過的有米 SDK 和淘米客 SDK,使由此開發的應用程式也受感染,並能繞過官方應用程式店的檢測,令更多程式用戶「中招」。因此協調中心預料針對流動裝置的惡意軟件攻擊,會日趨猖獗。
針對物聯網裝置攻擊將興起
此外,隨著物聯網逐漸開始應用,令過往離線的裝置在網絡上開放。協調中心發現不少 IP Cam、路由器和工業控制系統 (Industrial Control Systems, ICS) 均發現漏洞暴露於網絡上,其中路由器就發現有 43,000 個,而工業控制系統則有 106 個。
工業控制系統可用於控制冷氣、升降機、警報系統、燈光系統和生產線等多方面,協調中心就發現有四分一可輕易存取到登入介面,埋下黑客攻擊的潛在危機。而智能家居和穿戴式裝置的流行,以及工業 4.0 的轉型,預計未來將會有更多針對物聯網裝置的新興攻擊。
面對這些網絡安全新威脅,黃家偉建議各界加強防範措施。他表示:「企業方面,除定時檢視網站伺服器的保安狀況及修補系統的保安漏洞外,還要將銷售點系統與公眾網絡隔離,以收窄『攻擊面』。另外,要定期備份檔案及離線存放,以免受加密勒索軟件影響。市民大眾則需採取足夠措施保護個人流動裝置,更要對來歷不明軟件或超連結,以及索取個人資料或更改付款帳戶內容的要求,格外小心。」
