在早期的年代,病毒游走于系统之间,偶尔删除文件(但被删除的文件几乎都是可恢复的)或弹出一些显示费解内容的对话框。如今,攻击者研发病毒的目的已经从过往的只是“恶作剧”演变成为“赚钱工具”,恶意软件将锁住你的数据,劫持用家的电脑勒索赎金或在你不知情的情况下,盗窃个人隐秘资料,常让电脑用户招架不住!
其中,趋势科技针对2014年新安全威胁一共发布了8大预测。
1)隐患升级移动银行
移动银行面临中间人攻击(Mit M)的威胁加大,基本的两步认证已经不足以确保安全。2013年第三季度,在线银行的感染记录超过20万宗,创下历年最高。趋势科技预计,在2014年此现象将持续增长。
银行业面临的安全威胁不仅限于电脑,更会会移师到移动银行上(智能手机及平板电脑)。
与银行相关的手机app将会成为网络罪犯的首要攻击目标,主要手段是伪装成口令发生器的恶意app。(口令发生器是一个识别用户的方法。)
移动银行让传统的两步认证变得不再可靠,因为银行交易和认证这两个环节都在手机上完成,网络犯罪分子已经能够通过PERKEL和ZITMO恶意软件截获认证口令。2013年,美国有1/5的智能手机用户通过移送装置使用手机银行服务。在2014年这个比例还将会持续攀升。
趋势科技预计,在2014年安卓(Android)依然会是最多人使用的作业系统,相对的也带来了更多的恶意软件。谷歌最新发布的安卓“Kit Kat”作业系统虽增加了很多安全功能,但是由于安卓设备的高度碎片化,大量用户无法享受到新的安全功能保护。
2)网络钓鱼套取资讯
网络罪犯分子将会使用更多攻击方法,例如开源研究和高度定制化的鱼叉式网络钓鱼等。网络钓鱼的最新花样是鱼叉式网路钓鱼,这是一个诈欺手法。
鱼叉式网络钓鱼是一封电子邮件,看起来像是你认识的人或企业寄来的。但实际上并不是,它是想要取得你电脑上信用卡和银行帐户号码、密码及金融资讯的网络罪犯。
他知道你的姓名、电子邮件地址,还知道一些关于你的事。电子邮件讯息中的问候语可能较为私人化:会使用“Hi Bob”而非“Dear Sir”。
时刻记得,不要在网络上泄露太多的个人资讯,因为你永远不会知道谁会利用这些资讯来对你不利。
3)新颖手法伺机待发
市场上将出现更多点击劫持(clickjacking)、水坑式攻击(wateringhole)以及更多新颖的攻击手法并通过移动装置展开攻击。
点击劫持是一种诱惑用户点击一个看似无害的链接或按钮,但实际上却是点击在另一个网页上的一个链接或按钮。后果可能是泄露了机密的资料,或无缘无故“赞好”一个网站,甚至开启电脑内置的镜头和麦克风。
水坑式攻击则是一种新型钓鱼攻击方式,网络罪犯瞄准目标后,先通过对目标的分析以及了解其行为特点,掌握目标经常访问的网站,然后寻找这些网站的弱点实施攻击,并植入恶意软件。一旦目标用户点击浏览该网站,恶意软件就会被植入目标对象的装置里。
4)泄露事故频发
2014年Adobe共泄露3800万用户数据、“Evernote”笔记泄露了5000万用户数据,而雅虎日本则泄露了2200万用户账户数据。趋势科技预测,在2014年,数据泄露事故会越趋严重。
5)XP成攻击对象支援不复更新
预计2014年,对失去技术支持的软件如Java6及Window XP的攻击将大大增加。微软将在2014年4月8日停止支援Windows XP,这意味新的漏洞将无法修复。根据NetMarket Share的调查显示,截至2013年9月,全球有31.42%的电脑仍然执行Windows XP。
Gartner则指出,2014年4月8日以后,预计仍然有超过15%的中大型企业还会继续使用至少10%的Window XP电脑。他们预计,明年手中握有零日攻击漏洞(zero-day,指的是采用新发现,尚未被公开的电脑系统弱点所进行的攻击)的网络罪犯,将等到4月8日之后再销售以取得更高的价钱。
因为锁定高价销售,这些漏洞将会被用于攻击高价值企业和个人,而非供一般网络犯罪分子用来散布大规模的病毒感染。
6)网络犯罪决战深网
美国联邦调查局(FBI)在未来几年将会扩大它的侦查范围,相信会继续介入“Tor”(Theonionrouter,洋葱),或是类似线上存储和网络寄存服务的Mega Upload的稽查。从第一个电脑病毒出现以来,猫抓老鼠的戏码便一直上演。虽然对这类匿名服务的管控增加,但更新更强的版本还是会出现,而且更难以撼动或扫除。去年,被FBI强制关站的Mega Upolad(线上存储和网络寄存服务),一年后新的Mega便诞生,而且平台更为坚实。甫被FBI谕令关站的Silk Road(著名毒品买卖网站),预计几年后会再次卷土重来。
7)棱镜门事件隐私拉警报
爱德华斯诺登(Edward Snowden)的棱镜门事件,唤醒了公众的隐私保护意识。棱镜门事件引发了公众对隐私的保护意识,大量青少年舍弃了在面子书公开更新状态,而是转向到通讯app。
对此,微信(We Chat)的活动用户暴增了1021%,而阅后即焚的图片分享应用“Snapchat”每日发送的图片则高达3.5亿张。接下来,将会有更多的企业透过售卖数据资料赚取利润,而经营资料挖掘(datamining)企业会继续繁荣。
8)扩增实境新网安隐忧
2014年还不会有大规模的物联网威胁,真正的物联网威胁“杀手应用”,需要借助增强扩增实境(AR)的普及。
物联网即“物物互联”,是利用先进的传感技术、网络通信技术实现的物与物之间的互联通信,方便识别和管理,并在此基础上产生一系列应用。物联网产业链可细分为标识、感知、处理和讯息传送这4个环节,关键技术包括RFID、传感器、智能芯片和无线传输网络。
扩增实境(Augmented Reality,简称AR)是一种实时地计算摄影机影像的位置及角度并加上相应图像的技术,这种技术的目标是在萤幕上把虚拟世界套在现实世界并进行互动。
随著移动装置运算能力的提升,预计扩增实境的用途将会越来越广,打造全新的物联网世界!
隐私保障意识
有待加强
与此同时,卡巴斯基实验室(Kaspersky Lab)专家也对2014年的网络安全进行了预测。毫无意外,他们大部分对未来的预测都涉及爱德华斯诺登披露真相的后续影响。他们认为,网路犯罪将针对以下3点,冲击网络安全。
1.个人隐私
自2013年爱德华斯诺登丑闻之后,引起了全球情报机构的关注,同时掀起了人们对于保护隐私的警觉性。这意味著对个人电脑及装置上存储的资讯进行保护并确保对网上行为进行保密,从而促使虚拟私人网络(VPN)服务或匿名网络会更加受欢迎,以及对本地加密工具的需求将会增长。
2.个人资金
卡巴斯基实验室专家预计,在2014年网络罪犯会继续推动制作用户直接或间接盗取现金的工具。为了可以直接盗取受害者的资金,网络罪犯将会进一步强化其专门用于活动移动装置里所有银行帐户的用具(移动网络钓鱼及银行木马)。
移动僵尸网络(Mobile Botnets)将会被进行买卖,还将用于代表协会厂商发送恶意附件。为间接盗取,市场上有极大可能将会出现更加复杂的木马版本,它们将“封锁”移动装置上的资料,阻止用户使用照片、联络人和通信,强制性要用户们缴付“解锁”费用。
卡巴斯基实验室专家预计,基于安卓(Android)作业系统的智能手机,将会成为首个攻击目标。
3.个人比特币
比特币(Bitcoins)是一种数位货币、通信协定和电脑软件。卡巴斯基实验室专家预测,在2014年使用比特币库交易的攻击数量将显著增长。若你正要探索比特币世界,有几件事情你要必须先了解,比特币是用来交换金钱与价值。
因此,用户必须像对待你的钱包一样对待比特币,在什么情况下都需要小心照顾及处理。你的比特币如同实体钱包需要保护。比特币提供简便的跨国汇款功能,因此安全性的顾虑也随之而来。
只要使用方法正确,比特币能提供相当高等级的保障。为了保护个人财产,用户必须培养良好的消费习惯,学习保护你的钱包。
