資安公司賽門鐵克 發布第20期《網路安全威脅報告》

台北賽門鐵克公司，發布第20期網路安全威脅報告（Internet Security Threat Report，ISTR），台灣在《全球網路安全威脅排名》中排行第6位，於亞太區的排名為第3位。其中本地專業服務行業像是交通、通訊、電子、天然氣清潔服務業相關行業是惡意軟體的主要攻擊目標。數據顯示，網絡罪犯已經開始轉變攻擊模式，通過劫持大型企業的基礎架構，入侵並避開企業安全檢測，對企業進行攻擊。

賽門鐵克公司的研究顯示,零時差漏洞的數量在2014年創歷史最高。軟體公司平均需要59天來生成和推出補丁, 而在2013年僅需4天。網路攻擊者在補丁尚未推出前充分利用該漏洞,以Heartbleed(心臟出血)為例,該漏洞在4個小時內迅速被利用並用於發動攻擊。2014 年,共有24個零時差漏洞被發現,網路犯罪分子在這些漏洞被修補之前毫無顧忌的利用已知的安全性漏洞對企業發起攻擊。

與此同時,進階的網路攻擊者不斷借助針對性極強的魚叉式網路釣魚攻擊侵入網路。2014年,這種攻擊手段的使用增長率為8%。值得注意的是, 網路攻擊的準確性大幅提高, 並結合更多隱蔽式強迫下載惡意軟體 (Drive-by malware downloads)和基於 Web 的漏洞,垃圾郵件數量雖然減少了20%仍舊能夠精準攻擊目標受害者。

此外,賽門鐵克公司還發現網路攻擊者會從以下方式攻擊: 

• 從某公司盜取受害者的電子郵件帳戶,利用魚叉式網路釣魚手段對受害者進行攻擊; 
• 攻擊前,利用公司的管理工具和程式在公司網路中移動盜取的 IP; 
• 在受害者的網路內部構建客製化的攻擊軟體,以進一步掩蓋自己的攻擊活動。

「數位勒贖」處於上升趨勢 

電子郵件仍是網路犯罪分子的重要攻擊途徑,但他們繼續針對行動裝置和社交網路嘗試新的攻擊手段,以便達到事半功倍的效果。

台灣賽門鐵克首席技術顧問張士龍表示：「網路犯罪分子本性狡詐,他們更喜歡利用自動化工具讓不知情的消費者來説明他們進行卑鄙勾當。2014年,攻擊者利用人們對朋友所分享內容的信任,70%的社交媒體騙局都通過使用者手動分享而傳播。」

 

儘管社交媒體騙局可以快速為網路犯罪分子帶來收益,但他們卻並不滿足,網路犯罪分子還採用勒贖軟體等卑劣的攻擊方法獲取暴利,這樣的攻擊在去年增加了 113%。值得關注的是, 在2013年, 密碼勒贖軟體攻擊的受害者比以前增高了45倍。密碼勒贖軟體的攻擊策略並不會採取傳統勒贖軟體那樣偽裝成執法部門對盜取內容收取罰金的方式,而是更加惡劣地劫持受害者的檔案、照片和其他數位內容,毫不掩飾他們的攻擊目的。