研究預測 2020 年 Creepware 將成主流騷擾用戶

環球 IT 消息科技新聞

隨著科技的急速發展,我們的日常生活,甚至個人資料與網絡世界的連繫漸趨緊密。科技發展讓我們生活變得更方便,但同時亦帶來一系列令人擔憂的網絡安全問題和前所未有的私隱風險挑戰。根據香港警務處的數字顯示,在過去十年間,香港電腦罪案數字急增超過四倍。2019 年首 3 季有關科技的罪案有 4500 多宗,大多為網上商業騙案及社交媒體騙案,損失的金額約 22.5 億,平均每宗損失 49 萬元,較 2018 年全年平均損失金額 35 萬元多。NortonLifeLock 的研究團隊專家們針對了消費者在 2020 年將面臨的網路安全與私隱風險做出了以下七大預測,提醒消費者提高警覺。

網路威脅演變成人身安全威脅 

網絡罪犯在網絡上盜取個人資料,但他們的野心並不止步於此。我們預計在 2020 年,網路罪犯將對實體犯罪者提供越來越多的協助,讓不法之徒能在現實世界進行犯罪。這意味著你可以在地下論壇裡發現他們販運(被盜的)智能鎖的密碼組合,讓購買者能控制「智能家居」中常見的數位裝置,例如智能鎖或智能攝影機。再利用被盜密碼要脅受害者支付比特幣。另外擁有被盜密碼的攻擊者能遠程連接受害者的網絡攝影機記錄,因而刪除洗劫受害者房屋時被拍攝到的所有片段,刪除自己的犯罪證據。這些威脅將從網路轉移到現實世界,甚至引起實際的人身安全威脅。

「Creepware」偷窺軟體威脅進入主流

在 2020 年,我們希望全世界都會意識到「Creepware」的威脅。這些應用程式目的是為了騷擾受害者,使攻擊者可以對受害者進行各種霸凌或以任何方式的人身攻擊。NortonLifeLock 與其他網絡安全研究人員一直在追踪偷窺軟體,下載網站平台的運營商也非常努力地將偷窺軟體拒之門外。然而偷窺軟體的開發人員持續針對掩蓋其應用程式的目的進行不斷的更新,替換已被下載平台刪除的應用程式,讓偷窺軟體更難被發現。

在 2019 年期間,NortonLifeLock 發現大量偷窺軟體應用程式被用來監視別人,從而對其他人作出攻擊,我們發現的1000個偷窺軟體和監視應用程式隨後亦被 Google 從 Google Play 商店中刪除。 

攻擊者會利用這類軟體進行不同形式的攻擊。例如,某些偷窺軟體應用程式可一次性地發送數百條簡訊惡意攻擊同一個人,受害者的電話帳單若是按短訊數量收費,便會因此支付不必要的費用。另外也有攻擊者使用偷窺應用程式發送假短訊破壞受害者與他們親友的關係,從而攻擊者可以向受害者進行勒索。到目前為止攻擊方法仍然持續地增加,但大部分人還沒有意識到這一類的威脅。我們預計隨著偷窺軟體在未來12個月內成為主流,會有更多人更清楚意識到這種攻擊。

虛假訊息持續蓬勃發展

隨著美國進入大選之年,我們預計隨著技術工具演進,假消息將更普及地模糊真實和非真實之間的界限。人們相信眼見為憑,當看見圖片時便認為事件是真實的。但在數碼世界裡,眼見為憑將未必成立,隨著 DeepFake 語音與影像變成主流,過去被視為科幻的東西將逐步進入現實,人們將無法憑著自己的能力判斷真假。

在談論假消息時,我們通常會提到發佈假新聞的網站,但它們並不是假新聞的源頭。假新聞的源頭是發起人利用可被兩極分化的報導,從上下文中抽出一些內容,並透過人頭帳戶宣傳此類新聞。 例如使用一張很久以前拍攝的照片,在社交媒體上發佈,假裝是為了說明政治觀點而拍攝,以吸引人們的注意力。

不幸的是,目前尚未有一種統一的方法來識別和打擊假消息,但可以肯定的是,在 2020 年,假消息將繼續存在並蓬勃發展。   

5G 對物聯網安全的新挑戰  

5G 時代刺激了網路的增長及創造數十億台的新裝置,為用戶帶來更快速及更便利的用戶體驗,但同時也為物聯網供應商帶來了新的挑戰。在確保裝置安全方面,物聯網供應商將面臨極大的壓力。裝置製造商為了盡快推出裝置,提供消費者想要的功能,因此在安全設計上採取了一些捷徑,以免延誤生產進度。結果導致消費者在缺乏了解背後安全風險的情況下購買產品。甚至連兒童玩具也無一倖免,尤其是一些帶有GPS的玩具,可能會在無意間對外透露了兒童的位置,產生風險。現在即使製造業致力改善安全設計以保護裝置,5G 所帶來的挑戰卻比他們以往所面對的任何挑戰更為艱鉅。 

可以肯定的是,過去的大型殭屍網絡攻擊都採用了物聯網設備。但從 2020 年起,成千上萬的裝置將連接到 5G 的商業網絡和(越來越多的)智能家居,除非裝置製造商能嚴謹地對設備的安全問題進行審視,否則“物聯網大決戰”的前景將會面對嚴重的威脅。

勒索軟件攻擊者大獲全勝

在過去的幾年間,勒索軟件已成為醫療機構和小型企業的麻煩源頭。惡意攻擊者針對基礎設施投資不足及對安全設備不足的目標下手,凍結他們的網路並扣押他們的資料以作勒索。在 2020 年,勒索軟件攻擊者將向利潤更高的目標下手,特別是針對製造業及關鍵基礎設施組織。 

而對抗這類專業勒索軟件攻擊者的工作亦將越來越困難。專業勒索軟件攻擊者會首先在網絡內部中收集情報,並在攻擊前了解攻擊地點的資產、備份狀況與端點的位置,讓攻擊更加順利。他們的計劃成功與否將取決於受害者的安全狀況,儘管企業們已意識到了這種威脅,但仍有許多公司因財務因素而乏略了安全問題的重要性。

網路欺詐不斷增加 

欺詐者將會更盡力地在網絡上使用各種新舊技術來詐騙受害者,以盜取他們的數據與其他有價值的資料。 

「Juice Jacking」手機充電站攻擊就是一個漸趨嚴重的問題。受害者在不知情的情況下使用被駭客裝有惡意軟件的 USB 電線為裝置充電,在被收取費用的同時,更有可能面對數據被盜取的風險。目前我們仍不清楚這種攻擊的普及程度,但洛杉磯地區檢察官辦公室在其社交媒體平台上發布了一份警告,建議遊客避免在機場和其他公共場所使用公共充電站。   

欺詐者也將愈來愈常使用 DeepFake 音頻,讓受害者以為是他們的親人打來的電話,說他們正在旅行但損失了所有金錢而需要匯款協助。

最後,Credential Stuffing (憑證填充攻擊是指使用被盜的帳戶憑證試圖登入網路服務) 將成為一個主要的問題,因為愈來愈多的詐騙者從非法途徑取得被盜的帳號和密碼,並在社交媒體平台或網站上嘗試解鎖受害者的個人資料,他們能在幾秒鐘之內突擊數百個網站直到進入網站為止。除非受害者選擇使用 2FA (雙向認證),否則他們將面臨極大風險。   

公眾對私隱安全的憂慮

每當資料外洩意外發生時,消費者對他們的個人資料被保護不足總是感到憤慨,但至今許多公司的資料收集政策依舊缺乏透明度。消費者大多對於誰擁有他們的資料及如何使用它們一無所知,因此他們開始要求公司和機構更認真地保護用戶身份和隱私。近年發生不同的大型個人資料外洩事故,引起了消費者對網絡安全及個人私隱的憂慮,公眾都希望政府檢視《私隱條例》。隨著公眾對私隱安全的關注,越來越多公司和個人尋求針對網絡威脅的保險,令網絡保險業務增長。  

另一個潛在的問題是:隨著越來越多的專業臉部識別和監視技術在公共場所廣泛地被使用,我們的日常生活將會無時無刻地被監視著。在某些國家,人們經常會遇到監視器侵犯到私人生活的情況,因此他們自然地認為監視器是在跟踪他們的行蹤。但在發展成熟的國家中,私隱已被認定是政府應該要保護的一項基本權利,若不加以規範,人臉識別的準確性將不斷的提高而引發更多問題,私隱的保護幾乎讓人感覺已經成為一種特權,所以預期人們將持續推動政府對私隱加以保護。

(新聞稿)