勒索病毒、區塊鏈攻擊 明年恐更活躍
〔記者吳柏緯/台北報導〕今年國內發生勒索病毒肆虐、一銀與遠東商銀盜領案等多項重大資安攻擊事件,引起大眾對資安的關注。趨勢科技今表示,明年這類的駭客攻擊手法將會更加活躍,而且受攻擊對象也會逐漸轉移至可獲得高報酬的對象。
趨勢科技資深技術顧問簡勝財表示,明年除了透過勒索病毒的「數位勒索獲利模式」將更加進化與猖獗外,利用物聯網的漏洞竊取資料與針對區塊鏈的攻擊行為,都將是資安的挑戰。
今年台灣遭受WannaCry、BadRabbit等勒索病毒攻擊,簡勝財分析,明年這類的攻擊將會持續,且手法和樣態也會更加多元。他並表示,未來遭受攻擊的對象將會以可取得高報酬者為主。
而趨勢科技的調查也發現,過去的入侵事件多發生在政府單位,不過今年金融業遭受入侵的情況首度超越政府。簡勝財指出,以經濟利益為目的的攻擊事件將會越來越多,例如偽裝成金融或付款業務相關的人士,以欺騙被害人或資安系統,以達到攻擊目的的變臉詐騙(BEC),預計明年將會造成全球90億美元的損失。
今年遠東國際商銀的國際匯款系統平台SWIFT遭駭客入侵並盜領,這樣的攻擊方式稱為商業流程入侵 (BPC),即病毒早已進入銀行的相關系統中潛伏,等待時機再發動攻擊。趨勢科技的資料也顯示,這類的攻擊模式會越來越活躍。
近年隨著區塊鏈技術發展,比特幣等虛擬貨幣投資、交易也越來越風行,不過新技術伴隨著新的資安風險,例如日前韓國的虛擬貨幣交易平台Youbit遭駭,損失近4000枚比特幣而宣告破產。
趨勢科技台灣區暨香港區總經理洪偉淦說明,區塊鏈的技術由於去中央化與不可變更性,因此安全性相對是比較高。不過他也強調,雖然區塊鏈技術的安全性高,但比特幣擁有者仍須透過一個實體帳號才能持有這些虛擬貨幣,因此對於駭客而言,攻擊的標的是個人帳號與權限,而非區塊鏈。
洪偉淦分析,不論實體貨幣或虛擬貨幣,對於資安的管理並沒有不同。因為任何一個有「錢」的地方,都有可能成為駭客的攻擊標的,因此強化帳號本身的安全性才是避免被駭的不二法門。