(吉隆坡3日讯)赛门铁克“第20期网络安全威胁报告(ISTR)”指出,2014年全球共剧增了3亿7000万个恶意软件,比上一年增加了26%,意味著平均每天有近100万个新恶意软件出现,而这些恶意软件大部分仍用于非定向攻击。
报告指出,在众多恶意软件袭击方面,当中以勒索软体攻击就增长了113%,当中升级版勒索软体“Crypto-ransomware”就剧增4000%,犯罪分子用加密勒索软件把受害者的文件加密,只有在受害者支付一笔赎金后才提供解密密钥。
报告表示,加密勒索软件主要攻击运行Windows操作系统的设备,但赛门铁克也发现,运行其他操作系统的设备也开始受到攻击,如去年首次发生加密勒索软件攻击安卓移动设备的事件。
“Crypto-ransomware勒索软体在用户的电脑及所有资料档加密并封锁后,便会要求用户或受害者缴付300美金至500美金的赎金才能解码。”
网络钓鱼增长8%
赛门铁克(Symantec)是一家总部设于美国加利福尼亚州的互联网安全技术厂商。专注于为个人用户与企业用户提供安全、储存及系统管理解决方案,以协助保护和管理其资讯。
报告指出,除此以外,其他如网络钓鱼(phishing)的恶意袭击也在去年增长8%,当中83%是针对2500人以上规模较为庞大的企业更是成为其中攻击对象,相比2013年只有43%的企业成为攻击对象的比例增加了40%。
“由于许多中小型企业(职员人数介于250人至2500内)的网络防范措施较弱,因此共有60%公司也成为了骇客攻击使用网络钓鱼对象。”
恶意电邮减少
尽管如此,该报告透露,网络罪犯发送的恶意电子邮件的比率减少了14%,有关通过邮件攻击的对象降低了20%,即前者更倾向于使用其他平台,包括通过“水坑式”袭击入侵目标企业可能到访的网站并嵌入恶意程式,等待其户浏览该网站就会感染恶意程式。
报告表示,除了上述,去年也出现了3大新程式的攻击,即“心脏出血”(Heartbleed)、“臭虫”(Bash-Bug或Shellshock)以及Poodle。
报告点出,攻击者利用安全隐患发动攻击的速度更快,但防御措施却没能跟上,并举例如“心脏出血”安全隐患公布后仅4小时,就有大批攻击者闻风而动。
报告点出,这些骇客也会通过盗用企业职员的身份及账号,进行以上各种形式的袭击。
报告也强调,尽管销售点系统、ATM提款机、家庭路由器等设备一般不被视为物联网的一部分,惟鉴于其皆带有操作系统的联网设备,故此骇客袭击如是设备的趋势也陆续崛起。
“这表明不仅个人电脑面临网络攻击的风险,汽车、医疗设备等也有可能成为网络攻击目标,应该引起关注。”
网络数据外泄数量增23%
网络安全公司赛门铁克近期报告指出,全球网络数据外泄的数量比上年增长了23%,其中大部分是基于受到网络攻击者所造成,这些数据更是成为骇客或不法之徒进一步攻击相关网络用户的其中管道。
报告显示,在去年共发生了312宗数据外泄的案例,比2013年的253宗增加了59宗或23%。遭到外泄的网络用户身份总数则为3亿4800万项身份,即平均每宗案件共导致110万名用户身份遭泄露;而其中4宗案件,其个别涉及超过1100万人的个人资料遭外泄。
报告说,零售业高居5大数据外泄领域榜首,即共有2亿5000名网络用户身份遭外泄,即占整体59%;紧接是金融领域23%(涉及8000万身份遭外泄)、电脑软体10%(3500万个身份)、医疗领域和政府及公共领域则同为2%(个别700万个身分遭外泄)。
“这些网络用户遭到外泄的资料主要包括用户真实姓名(69%)、政府机构的登记号码(45%)、个人地址(43%)、个人财务资料(36%)以及生日日期(35%)等。”
尽管若以资料遭外泄的用户数量来看,医疗业并非最严重的领域,惟若以个案总数来说,医疗领域是其中最严重领域,占整体312宗的其中116宗(37%),紧接下来是零售(11%)、教育(10%)、政府与公共领域(8%)及金融领域(6%)。
转用社交媒体为袭击平台
赛门铁克《2015年网络安全报告》指出,在攻击平台方面,随著社交媒体和智能手机应用程序广泛,许多网络罪犯也开始将过去偏爱利用电子邮件发动网络攻击的方式,转为使用前者作为袭击平台。
报告指出,共有20%针对社交媒体所发动的网络攻,向“中招”的用户要求将其恶意软件或程序对外传播,即这些用户在不知觉点赞,或将有关讯息分享后,便会把有关病毒擅自向其他人传播。
“我们发现,去年有70%的社交媒体骗局被点击分享。这些骗局迅速传播,被网络犯罪分子大加利用来发动攻击,因为人们更愿意点击朋友圈发的信息。”
报告说,近年来社交网站活跃用户的大量增加,相关网站成为骇客的袭击平台已并非新课题,当中共有5种袭击手法最让用户难以招架的。
安卓17%恶意软件
该5项攻击为虚拟活动群组(Fakeoffering)、“绑架式点赞”(Likejacking)、浏览器安装诈骗、虚假应用程序及“诈骗式分享”(Manual Sharing Scams)。
报告点出,很多人认为网络威胁与个人电脑有关,却忽视了对智能手机的基本安全保护,如去年有将近100万个不同的安卓移动应用实际上是伪装的恶意软件,占安卓应用的17%,惟许多用户却贪图一时便利而在并未了解有关使用条例下下载该程序。
报告说,根据调查,每4名智能手机用户在毫不了解有关条例下,便下载有关程序来用,多达68%者表示,为了获得这些免费应用程序,他们不惜以个人资料来作为交换条件。
报告补充,灰色软件应用虽然本身不是恶意软件,但可以被用来跟踪用户习惯等。这部分软件应用占全部移动应用的36%。
