資料外洩、網絡釣魚及ICS工業控制系統攻擊 將成下年最嚴重的網絡威脅

最新資訊保安報告預測資料外洩事件及網絡釣魚攻擊仍會肆虐全球，工業控制系統會成為下一個主要攻擊目標。全球網絡資訊保安方案廠商趨勢科技（東京證券交易所股票代碼：4704）發表2019年資訊保安年度預測報告，針對網絡安全威脅與網絡犯罪攻擊趨勢，提出三大重點警示：包括憑證資料外洩詐騙事件將不斷增加、網絡釣魚攻擊手段將取代漏洞攻擊套件成為主要攻擊手法以及工業控制系統的安全性持續受到威脅。

趨勢科技香港及澳門區顧問總監李浩然表示：「回顧今年全球資訊保安景況，可觀察到各組織及企業對於資料安全的重視；重大資訊安全事件的發生亦凸顯連網裝置普及所面臨的資訊保安問題。在2019年企業和組織將導入更多連網設備，加上連網速度將大幅提升，令資訊安全面臨更廣泛與多元的挑戰，不僅企業對資訊安全團隊的需求將提高，多層式智能防護的資訊保安政策將在企業經營中扮演關鍵角色，企業領導人對網絡安全的重視及培養營運團隊資訊保安意識，更是建構自身企業網絡安全防護架構的重要基石。」

個人資料與憑證外洩攻擊激增，企業機密與個人資料岌岌可危

憑證填充攻擊（Credential Stuffing）是一種利用殭屍網絡透過大量外洩的電郵和密碼，自動化地以疲勞轟炸的方式不斷試圖登入各大熱門網站的攻擊方式。根據美國Ponemon Institute 與Akamai Technologies的憑證填充攻擊報告指出（註一），2017 年 11 月至 2018 年 6 月間觀察到的惡意登入嘗試超過 300 億次，顯示憑證填充攻擊事件與嚴重性將持續加深。

另一方面，過去幾年資料外洩事件帶來的後續影響，加上民眾在各大網絡服務上重複使用相同密碼的習慣，趨勢科技團隊預期2019年將有更多利用憑證的詐騙交易。對消費者的直接影響可是盜用信用卡里數回贈，甚至個人社交帳號遭入侵利用來散播惡意評論等。企業端方面，除了業務營運受波及與商譽受損，甚至可能因未盡妥善保護資料義務而觸犯法規遭受罰款。趨勢科技資訊保安預測報告進一步指出，2019年可以看到以獲利為目的的網絡罪犯將利用嚴格的歐盟通用資料保護法規GDPR （針對未遵守法規之企業處以2 千萬歐元或全球總營業額4%的罰款），藉此對企業展開攻擊，竊取資料及以此勒索高額贖金。

網絡釣魚取代過去漏洞套件攻擊，預期2019年網絡釣魚惡意網域將再創高峰

在現今多元裝置以及操作系統的趨勢下，黑客將不再透過以往單一軟件系統層面的漏洞攻擊套件模式進行攻擊，轉而利用社交工程廣泛地進行網絡釣魚攻擊。截至今年第三季，趨勢科技已阻擋超過2億多個與網絡釣魚相關的URL，相較於2017年增長近三倍；並預期在2019年會再創高峰。而有別於以往偽造企業往來信件格式的手法，黑客將透過竊取員工社交網絡上的資訊，提高網絡釣魚詐騙信件的可信度以入侵企業。在消費者方面，除了抓住大眾對重大活動的好奇心，如透過2020東京奧運等熱門議題來進行社交工程詐騙外，利用網絡紅人的傳播能力，黑客將鎖定網紅的社交帳號並嘗試入侵取得控制權，將之成為黑客進行水坑式攻擊（Watering Hole）的工具，植入惡意程式連結或訊息，騙取粉絲點閱，使粉絲遭牽連受到入侵，造成個人資料與財物損失。

報告另外指出，除了傳統信件，網絡釣魚手法開始出現在手機簡訊以及通訊帳戶上，結合社交工程手法的新興網絡攻擊開始出現，如SIM卡劫持（SIM-jacking）：犯罪者取得個人電話號碼和資訊，假冒手機用戶，向電信廠商技術服務人員申辦新的SIM卡，然後透過簡訊存取用戶的帳號資料甚至盜用電子錢包。

ICS工業控制系統攻擊威脅持續攀升，HMI人機界面持續成為SCADA系統主要漏洞

今日企業營運比以往更依賴即時數據，因此ICS網絡必須能與企業網絡連結，而ICS網絡與各式機電組件結合，包括閥門、調節器、開關和其他機電設備，已經遍及在能源、發電、製造業及運輸業等。黑客將不安全的企業網絡設備當成跳板，再移轉到最容易攻擊的 ICS 設備和資料庫，可造成交通網絡停運，能源供應中斷，甚至影響人身安全。

根據趨勢科技ZDI數據顯示，SCADA監控與資料擷取系統的漏洞大多出現在協助顯示資料與接受操作人員指令的HMI人機介面上，黑客透過入侵SCADA系統蒐集如廠房設備配置圖、關鍵門檻值（Critical thresholds）以及裝置設定等資料，再從事後續攻擊，除了可能造成相關營運中斷，更可能利用工業中的易燃物質或重要資產以威脅生命和財產安全。

抵禦無所不在網絡安全威脅，企業與個人應實際採取網絡安全防護措施

隨著聯網時代來臨，網絡安全威脅的影響更無遠弗屆。該報告顯示，網絡威脅者開始利用人工智能發動針對性攻擊，透過AI預測企業管理層和特定對象的相關動向，進而取信周圍相關人士進行入侵；但同時資訊保安廠商亦已運用人工智能模擬偵測任何潛在的網絡威脅，提供企業與消費者多層次的防護。

抵禦黑客變化莫測的攻擊手法，李浩然提議用戶遵循資訊保安守則：「面對未來連網技術進步與跨平台連網趨勢，企業不能只依靠單一的資訊保安工具，應採取跨世代的威脅偵測技術，在正確時刻採取有效的防護策略；而群眾更應培養資訊保安意識，對於電郵或通訊軟件上的訊息提高警覺，減低遭受網絡釣魚詐騙的風險，或可透過安裝防毒軟件協助保護個人資料與確保交易安全，此外，除了定期更新密碼，使用多重認證，以及密碼管理工具以保護相關憑證資訊，也可協助保護個人機密資料。」

趨勢科技2019年資訊保安預測報告各大重點：

透過社交工程的網絡釣魚將取代漏洞攻擊套件成為主要攻擊模式。憑證外洩盜用事件的數量與嚴重程度將大幅提高。員工在家工作及使用家用裝置連網的趨勢，使企業面臨類似自攜裝置BYOD的資訊保安風險。歐盟將針對違反GDPR的大型企業處以全球營業額4%或是2000萬歐元高額罰款。除了企業管理階層，變臉詐騙將深入企業其他管理層或相關員工。程序自動化將提高商業流程被入侵的風險。工業控制系統的針對性攻擊繼持續成為隱憂，人機界面也將持續成為監控與資料擷取系統的主要漏洞。