行之有效的入侵方法、網絡罪犯利用人性弱點賺取穩定收入！

現時從事駭客，技術當然重要，不過要成功的話，懂得「食腦」想想人性的弱點來進行入侵計劃，往往才是最為有效的。Verizon 的《數據失竊調查報告 2016》便明確指出，網絡罪犯仍以「網路釣魚」和勒索軟件等常見攻擊手法，繼續利用人性弱點犯案。

例如報告中便提及，以勒索軟體進行攻擊的個案正在上升，比 2015 年增加了 16%，而當中發動勒索軟件的最主要方法，就是通過一些虛假的訊息來完成的。另外，報告中亦提及今年至今已有 89% 的攻擊與搾財或間諜活動相關，雖然當中一些網絡漏洞修補程式已存在多月或甚至多年，但大部分網絡攻擊的入侵點，都是從未修補過的保安漏洞。事實上，85% 成功的網絡攻擊，都是利用常見的漏洞。

另外，報告亦顯示 63% 的數據失竊事件都涉及使用容易破解、預設或被盜取的密碼；當中 95% 的數據失竊及 86% 的保安事故可歸納為九種犯罪橋段。換言之，駭客只要簡單的結合虛假訊息誘使用户開啟惡意軟件，而惡意軟件通過對已知漏洞的判斷，並就已知漏洞嘗試攻擊，成功機會極高！這是由於實在太多用戶是不會及時更新的，所以即使是已知漏洞往往亦成為最容易進行入侵的途徑；再加上由於很多用戶的密碼都比較簡單，因此即便系統設有密碼，亦十分容易通過字典式的方式進行爆破，輕鬆完成入侵工作；而近期的勒索軟件便正正完美地運用了上述的各種，輕易的讓駭客們成功入侵並持續賺取到穩定的收入。

「網絡釣魚」成為頭號顧慮

所謂「網絡釣魚」個案，即終端用戶收到假冒其他身份的騙徒電郵，數字在新一年大幅增加。令人擔憂的是，今年有 30% 的釣魚郵件被打開，相比 2015 年的 23% 有明顯上升。而被點擊的郵件中，13% 更打開了惡意附件或連接，讓網絡罪犯得以透過惡意軟件犯案。

過往多年，網絡釣魚主要僅涉及網絡間諜活動，但在 2016 年的報告中，騙徒已可利用這些方法迅速攻陷電腦保安防線，而且將攻擊鎖定個別人士或機構。在各項人為錯誤中，也包括機構本身犯下的錯誤。這類統稱為「其他錯誤」的橋段，佔本年保安事故首位。當中，26% 涉及把敏感資料發送到錯誤的收件人。這類「其他錯誤」也包括公司資料處理不當、IT 系統配置錯誤，以及手提電腦和智能電話等失竊等。

另一引起關注的是網絡犯罪的速度。在 93% 的個案中，攻擊者只需幾分鐘或更短時間便可把系統攻陷；而在 28% 的個案中，相關數據在幾分鐘內便被偷取。與 2015 年的報告一樣，今年報告中手提電話及物聯網裝置被入侵的情況不算嚴重。但報告指出，針對電話和物聯網攻擊的概念並非虛構，這些器材的大規模數據失竊將來也很大機會發生。換言之，各機構對智能手機和物聯網器材應繼續保持警惕，及對裝置加強保護。

另外，報告提及針對網絡程式的攻擊成為數據失竊途徑的第一位，而當中 95% 的網絡程式攻擊都是以搾財為目標。

三路攻擊日趨普遍

今年報告提到一種新出現的三路攻擊正日趨普遍，而且已經影響到不少機構。這種攻擊包括：

發出附帶惡意連接或附件的釣魚電郵。 把惡意軟件下載至個人電腦，從而建立立足點，然後經其他惡意軟件來探取秘密及要盜取的內部文件（亦即網絡間諜活動），或把檔案加密以進行勒索。有時惡意軟件會透過鍵盤記錄來盜取多個應用程式的登入資料。 利用盜取的登入資料進行更多攻擊，例如登錄到銀行或零售商店等第三者網站。

研究人員指出，妥善執行基本防禦措施仍然比採用複雜的系統更爲重要。這些基本措施包括：

瞭解在你的行業內最普遍的攻擊模式。在電腦系統內應採用雙重認證，而且鼓勵用家在登入社交網絡應用程式時，也採用雙重認證。 盡快修補已知的漏洞。 監控一切輸入：審查所有登入記錄以偵察惡意活動。 為數據加密：如果被盜的器材已經加密，攻擊者要取得數據便會倍添困難。 培訓員工：特別在網絡釣魚日益嚴重的情況下，提升機構內的保安意識是關鍵所在。 熟悉你的數據，並施加相應的保護。另外亦應限制可以存取數據的人數。

《數據失竊調查報告 2016》是這個系列的第九份年度報告。今年的報告分析超過 2,260 宗經確認的數據失竊個案和十萬多宗保安事故，是自 2008 年報告出版以來最多的一次。報告亦分析一些發生超過 11 年的一萬多宗失竊個案和近三十萬宗保安事故。此外，爲了對整體網絡安全狀况有更全面的審視，報告的分析也兼及一些不涉及失竊的網絡攻擊個案。