以前的人如果想從自動櫃員機偷錢,往往需要出動斧頭和錘子來砸爛自動櫃員機,但隨著科技進步,作案的手法也開始變得高明。日前東歐國家羅馬尼亞和摩爾多瓦拘捕了 8 人,他們涉嫌利用惡意軟件入侵提款機,然後偷走裡面的錢。由 2014 年犯案至今,偷去的金額已達數以百萬。
資訊保安
醫療保健資料被盜取的情況,遠較預期普遍。Verizon 最新發表的《2015年受保護醫療保健資料外洩報告》指出,20 個接受研究的行業之中,有18個行業受到影響。可是, 護理業以外的機構,大部分甚至連自己擁有這類數據都不自知。 受保護的醫療保健資料通常來自員工紀錄(包括僱員索償) 或保健計劃,這些資料一般都不會受高度保護。
注重電腦安全的 Unwire.pro 的讀者應該知道,儲存裝置要格式化才能徹底刪除檔案,但不少人往往以為只要把 USB 記憶體的的檔案刪除,別人就拿不回檔案。美國北艾奧瓦大學的一個研究顯示,超過六成的二手 USB 記憶體可以回復資料,顯示大部分人的安全意識薄弱,也不懂得如何處理不用的 USB 記憶體。
使用網絡服務應有良好的資訊保安意識,尤其要當輸入敏感資料時,應確保網站有使用 HTTPS 加密連線,保障通訊安全。HTTPS 認證組織 Let’s Encrypt,由 Google、Microsoft 等科企共組,發行免費數碼證書,本意是推動全球網站採用 HTTPS 加密連線,但近日 Trend Micro 就揭發其機制遭黑客濫用,被用作發布惡意程式,盜取網上銀行賬號。
「物聯網殺人」也許是天方夜譚,不過國家基建受到黑客攻擊已不是新鮮事,不少人都擔心市民安全因此受威脅。日前烏克蘭至少有三間供電機構被惡意軟件入侵,使伊萬諾-弗蘭科夫斯克(Ivano-Frankivsk)近半家庭停電,受影響人數達數十萬人。研究人員指這是第一次有人用惡意軟件造成停電,是繼石油企業後另一宗針對能源的網絡攻擊。
2016 年勒索軟件的威脅有增無減。日前有研究人員發現了第一隻使用 JavaScript 的勒索軟件,並將之稱為 Ransom32。Ransom32 使用了基建於 Node.js 和 Chromium 的 JavaScript 框架 NW.js,因此理論上無論是 Windows、Linux 和 Mac OS X 都可被攻擊。
現在如果網路服務不幸遭駭客入侵,往往服務提供商會通知使用者,請他們趕緊改密碼,或是啟用兩階段認證等進階保護手段,尤其是面對國家級攻擊,像 Google、Facebook 和 Yahoo 等科技公司也敢於通知用戶。但是 Microsoft 卻遭離職員工爆料,指出他們旗下曾經的熱門服務 Hotmail 被駭,使得上千個帳號遭入侵。
雖然已有大量報導指出不少人仍然使用太過簡單的密碼, 但即使到了 2016 年,人們仍然沒有警醒,當中 123456 仍然是最常見的密碼,而且不少是在常用的 Hotmail 和 Gmail 等電郵服務出現。
在 2015 年,網絡威脅的演化速度較大部分企業的偵測和應對威脅能力為快。在多年前被認為是「高級」的網絡威脅,今天已變成一件有複雜惡意程式的商品,而且普遍得價錢如同一張電影戲票。這些觀察結果看似令人相當煩厭,然而最具影響力的演化過程卻完全不被報導及被誤解。而最為重要的威脅,是今天普遍的網絡威脅入侵者,所發動的行動都是由多種入侵方法和手段組成,去確保持續性。而不完整的事故偵測變成主要的缺失點。