作者 主题: [转]賽門鐵克:駭客對購物網站進行「表單劫持」成新主流,直接將你在網路上的信用卡刷卡資訊轉走  (阅读 286 次)

副标题:

离线 Leaf

  • 新人
  • *********
  • 帖子数: 12981
  • 苹果币: -8

近日網路安全公司賽門鐵克,發表了 2019 年度的《網路安全威脅報告》,透過深度分析全球超過 157 個國家和地區的 1.23 億個監測終端報告的攻擊事件,回顧 2018 年網路世界的威脅發展趨勢。
賽門鐵克於報告中指出,每十個駭客集團中,就有一個在使用惡意軟體破壞和擾亂商業活動,而且這種攻擊行為與 2017 年相比增長了 25%,攻擊者的策略也是花樣翻新、層出不窮。
 
特別值得關注的,是賽門鐵克發現到攻擊者從過去的個人目標,逐漸轉向較有規模的企業,光是企業勒索軟體的感染數量,就比去年激增 12%。
 


而當企業開始採用雲端儲存後,其資源更榮易被數位竊賊得手,目前已有 7,000 多萬條記錄,從配置不佳的 S3 公有雲存儲貯體被盜或洩露。物聯網的發展也讓越來越多的攻擊者,開始覬覦存在潛在漏洞的生產線及工業控制系統。
 
「表單內容劫持」成為駭客新寵
 
根據賽門鐵克的深度分析,去年有一項攻擊方式成為駭客竊取機密資料的新寵,這即是「表單內容劫持」(Formjacking)。


網路犯罪分子通過將惡意程式碼植入零售商網站,藉此竊取購物者的信用卡資訊。賽門鐵克表示,全球平均每個月都有超過 4,800 個不同的網站,遭到表單劫持代碼入侵,尤其在網購高峰期的 11、12 月最為嚴重。



當不法份子透過「表單內容劫持」取得消費者的機密資訊後,就會於地下銷售論壇上販賣,每筆最高可叫賣到 45 美元;換句話說,駭客只要從每個植入代碼的網站竊取 10 張信用卡資訊並出售,每月收益便可高達 220 萬美元。
 
虛擬幣價格影響惡意軟體
 
至於先前十分流行的「勒索軟體」及「加密劫持」威脅,根據賽門鐵克的報告,其攻擊活動在去年下降了許多,主要原因在於駭客可藉此取得的收益縮水。
 
所謂「加密劫持」,就是於軟體或網頁中埋藏程式碼,接著透過受害者的 CPU 資源進行挖礦工作,讓駭客取得虛擬貨幣。







但是隨著加密貨幣的價值下跌超過 90%,以及雲端和移動計算的採用率普及增加,「勒索軟體」及「加密劫持」的攻擊方式反而讓駭客們變得力不從心。
 
就統計資料來說,自 2013 年以來「勒索軟體」的感染率下降了 20%,「加密劫持」則減少了 52%。然而,針對個人的「勒索軟體」威脅風險雖然下降,但企業遭到「勒索軟體」感染的比率卻跳漲 12%,與總體下降趨勢相反,這顯示出勒索軟體對企業的威脅還在持續增加。




企業雲端保密很重要
 
雲端的發展也為企業資訊安全帶來困擾。就如同企業最初採用 PC 時出現過的安全問題,不少同樣的風險又重新將在雲端發生。舉例來說,單個錯誤配置的雲主機或存儲實例,將會給企業帶來數百萬美元的損失,或者讓其陷入違規危機。
 
僅統計 2018 年,就有超過 7,000 萬條記錄,從配置不當的 S3 存儲桶中被盜或洩露。此外,攻擊者還有很多工具,可用於識別網際網路上錯誤配置的雲資源,都變成了潛在的攻擊目標。





最新發現的硬體晶片漏洞,包括 Meltdown、Spectre 和 Foreshadow 等,都造成雲服務面臨被利用的風險,攻擊者能趁機利用這些漏洞,進入伺服器上受保護的記憶體空間,從而竊取同一實體伺服器上其他企業的資源。
 
全新的「就地取材」攻擊模式
 
賽門鐵克說,「就地取材」(LotL)的攻擊模式,已經成為現代資訊威脅的主流。所謂「就地取材」,就是駭客會將惡意軟體的活動,隱藏在大量合法進程中。舉例而言,去年透過 Windows 內建的 PowerShell 執行惡意腳本的攻擊事件就增加了 1,000%。


報告中指出,雖然賽門鐵克公司每個月能攔截 115,000 個惡意 PowerShell 腳本,但實際上這還不到 PowerShell 整體使用率的 1%,若選擇阻止所有 PowerShell 的活動,企業會受到很大的影響,這也進一步說明了為什麼 LotL 技術會成為許多攻擊者的首選策略。
 
物聯網比想像中還不安全
 
物聯網興起也帶來許多顯而易見的安全風險。賽門鐵克發現,雖然物聯網攻擊數量與 2017 年一樣居高不下,但網路攻擊情況發生了巨大變化,最容易受感染的設備是路由器與網路攝影機,占比超過 90%。



即便如此,幾乎每台物聯網設備都容易遭到攻擊,無論是智能電燈還是語音助手,都為攻擊者提供了入侵的新機會。
 
智慧型手機的隱私問題
 
報告的最後,賽門鐵克指出智慧手機可以說是有史以來最方便的監視設備,它集攝影機、監聽設備和位置跟蹤器於一身,無論用戶走到哪裡,都可以隨身攜帶和使用。
 

其中 App 的隱私侵犯問題特別值得關注。根據賽門鐵克研究,45% 的最常用 Android 應用和 25% 的最常用 iOS 應用請求使用位置跟蹤,46% 的主流 Android 應用和 24% 的主流 iOS 應用請求獲得設備攝影機存取權限,44% 的熱門 Android 應用和 48% 最受歡迎的 iOS 應用要求共用電子郵寄地址。


如果消費者在安裝 App 之前,沒有仔細閱讀程式要求的權限,很容易就造成資料外流。尤其為跟蹤兒童、朋友或丟失手機而收集手機資料的數位工具,也在不斷增多,這便加劇了更多未經批准的跟蹤用途持續氾濫。



MikaBrea - T客邦 - 2019年3月9日
« 上次编辑: 2019-03-09, 周六 09:57:00 由 Leaf »
1.这些事都有合理解释,但出于安全考虑,不能公开。
2.由于降低了预算,监管力量削弱才有了这一疏忽。
3.该实验值得一做,并已经停止,得到了大量珍贵数据。还提供了就业。
4.有些重要信息,尘埃落定以后我们才能得知。下不为例。
5.由个人决策失误引起,已根据内部纪律条例予以处理。

离线 Mounrou

  • Knight
  • ***
  • 帖子数: 447
  • 苹果币: 0
I just can't grasp Chinese Input, so I can only handwrite.
It takes me about 10 times as much to write Chinese on the PC than English, plus the finger pains... >3<

So unless it's VERY important, I'll just do English.

Give me a holler if you can't do English though and I'll try to accommodate. -w-b
(Except Grammar Nazis cause, you know, THEY'RE RELATED TO NAZIS!!! And pretty impolite to boot too. =_+\ )
FB Prototyping Area