駭帳號將超越駭系統!趨勢公布 2019 攻擊預測大全

Facebook、Google、國泰航空、貝殼放大...回顧 2018 個資外洩層出不窮,而台積電甚至產線感染病毒,面對精彩的 2018,趨勢科技對 2019 又做出哪些預測呢?
評論
Photo Credit: 趨勢科技 ▲趨勢科技台灣區暨香港區總經理洪偉淦
評論


趨勢科技發表 2019 年資安年度預測報告,針對網路安全威脅與網路犯罪攻擊趨勢,提出三大重點警示:憑證資料外洩帳號盜用詐騙事件將不斷增加、網路釣魚攻擊手段將取代攻擊系統的漏洞攻擊套件成為主要攻擊手法,以及工控系統的安全性持續受到威脅。

趨勢科技臺灣區暨香港區總經理洪偉淦回顧今年全球資安政策推動,觀察到各組織及企業對於資料安全的重視; 重大資訊安全事件也凸顯「連網裝置普及」所面臨的資安問題。預期在 2019 年企業和組織將導入更多連網設備,資訊安全將面臨更廣泛與多元的挑戰,不僅企業對於資安團隊的需求將提高。

多層式智能防護的資安政策將在企業經營中扮演關鍵角色,企業主對網路安全的重視及培養經營團隊資安意識,更是建構自身企業網路安全防護架構的重要基石。

盜個資就是盜帳號的墊腳石:個人資料與憑證外洩攻擊激增

憑證填充攻擊(Credential Stuffing)是一種利用殭屍網路(Botnet)大軍,使用大量外流的電子郵件地址和密碼,自動化地以疲勞轟炸的方式不斷試圖登入各大熱門網站的攻擊方式。根據美國波耐蒙研究所(Ponemon Institute) 與阿卡邁科技公司(Akamai Technologies)憑證填充攻擊報告註一指出,憑證填充攻擊事件與嚴重性將持續加深。過去幾年來的資料外洩事件後續影響,加上民眾在各大網路服務上重複使用相同密碼的習慣,趨勢科技團隊預測 2019 年將有更多運用憑證的詐騙交易。

此種攻擊對於消費者所的直接影響可能出現在信用卡哩程累積回饋盜用,甚至個人社群帳號遭入侵利用散播惡意評論等;而在企業端方面,除了業務營運受到波及與商譽受損,甚至可能因未善盡資料保護義務,觸犯法規而遭受罰鍰處分。

趨勢科技資安預測報告進一步指出,2019 年可以觀察到以獲利為目的的網路犯罪者將利用歐盟最嚴格的 GDPR (針對未遵守法規之企業處以 2 千萬歐元,約新台幣 7 億元或全球總營業額 4% 的罰鍰),對企業展開攻擊竊取資料,對比高額罰鍰藉此勒索高額贖金。

網路釣魚取代過去漏洞套件攻擊,2019 年釣魚惡意網域將再創新高

在多元裝置以及操作系統趨勢下,駭客將不再透過以往單一軟體系統層面的漏洞攻擊套件模式,轉而利用社交工程廣布式地進行網路釣魚攻擊。截至今年第三季,趨勢科技 Smart Protection Network 已阻擋超過 2 億多筆網路釣魚相關的 URL,相較於 2017 年成長接近三倍;預期 2019 年會再創高點。

而有別於以往偽造企業信件格式的手法,駭客將透過竊取員工社群網路上的資訊,提高網路釣魚詐騙信件的可信度,達到入侵企業的目的;消費者方面,除了抓住大眾對重大活動的好奇心,透過如 2020 東京奧運的時事議題來進行社交工程詐騙之外,利用網路紅人的傳散能力,駭客將鎖定網紅的社群帳號並嘗試入侵取得控制權,成為駭客進行水坑式攻擊(Watering Hole)的工具,植入惡意程式的連結或是訊息,騙取追蹤粉絲點閱,使得粉絲遭牽連受駭,造成個人資料與財物損失。

報告另外指出,除了傳統信件,網路釣魚手法開始出現在手機簡訊以及通訊帳戶上,結合社交工程手法的新興網路攻擊開始出現,如 SIM 卡劫持手法(SIM-jacking):犯罪者取得個人電話號碼和資訊,假冒手機用戶,向電信廠商技術服務人員申辦新的 SIM 卡,爾後透過簡訊存取用戶的帳號資料甚至盜用電子錢包。

ICS 工業控制系統攻擊威脅持續攀升,HMI 人機界面持續成為 SCADA 系統主要漏洞

今日企業營運比以往更加仰賴即時數據,因此 ICS 網路必須能與企業網路連結,而 ICS 網路與各式機電組件結合,包括閥門、調節器、開關和其他機電設備,已經遍及在能源、發電、製造業及運輸業等。趨勢科技提及,駭客將不安全的企業網路設備當成跳板,再移轉到最容易攻擊的 ICS 設備和資料庫,造成交通網絡停擺,能源供應中斷,甚至影響人身安全。

根據趨勢科技 ZDI 數據顯示,關於 SCADA 監控與資料擷取系統的漏洞,有大部分比例出現在協助顯示資料與接受操作人員指令的 HMI 人機介面,駭客藉由駭入 SCADA 系統將可蒐集如廠房設備配置圖、關鍵門檻值(Critical Thresholds)以及裝置設定等資料,進而從事後續攻擊,除了可能造成相關營運中斷,更甚者可能利用工業中的易燃物質或是重要資產以威脅生命和財產安全。

萬物連網時代資安更複雜,AI 技術助長攻擊與預測

網路安全威脅的影響隨著聯網時代來臨更加無遠弗屆。據趨勢科技 2019 年資安預測報告顯示,網路威脅者開始利用 AI 人工智慧發動目標式攻擊,透過 AI 預測判定企業管理階層和特定對象的相關動向,進而取信周圍相關人士進行入侵威脅;但與此同時,資安廠商也已運用人工智慧模擬以偵測任何潛在的網路威脅,提供企業與消費者多層式的防護。

抵禦駭客變化莫測的攻擊手法,趨勢科技資深技術顧問簡勝財分享資安教戰守則:「面對未來連網技術進步與跨平台連網趨勢,企業不能只依靠單一的資安工具,應採取跨世代的威脅偵測技術,在正確的時刻採取有效的防護策略;而民眾更應培養資安意識,對於電子郵件或是通訊軟體上的訊息提高警覺,降低遭受網路釣魚詐騙的風險,或可透過安裝防毒軟體協助保護個人資料與交易安全,此外,除了定期更新密碼,使用多重認證的帳密保護措施,以及密碼管理工具以保護相關憑證資訊,也可幫助個人機密資料的保護。」

趨勢科技 2019 年資安預測報告各大重點摘要如下:

  • 透過社交工程信的網路釣魚將取代漏洞攻擊套件成為主要攻擊模式。
  • 憑證外洩盜用事件的數量與嚴重度將大幅提高。
  • 員工在家工作及使用家用裝置連網的趨勢,使企業面臨類似 BYOD 自帶設備的資安風險。
  • 歐盟將針對違反 GDPR 的大型企業開處全球營業額 4% 或是 2 千萬歐元高額罰鍰。
  • 除了企業管理階層,變臉詐騙將更深入企業其他管理層級或是相關員工。
  • 自動化將提高商業流程入侵的風險。
  • 工控系統的目標攻擊持續成為隱憂,HMI 人機界面也將持續成為 SCADA 監控與資料擷取系統的主要漏洞。

延伸閱讀:



疫情衝擊消費型態:到店消費的人屈指可數,零售業者該怎麼辦?

疫情造就購物型態轉變,實體店面接觸幾乎降為零,零售業者面臨前所未有的行銷挑戰,轉型電商、發展零接觸經濟皆為逃避不了的課題;阿物科技發布的《掌握疫情新常態!零售電商的數位行銷決勝秘笈》產業白皮書,提供業者很好的的線上/線下具體策略。
評論
Photo Credit:David Clarke on Unsplash
評論

Covid-19 今年 5 月在台灣爆發,嚴峻的本土疫情衝擊產業,三級警戒也讓消費者的購物型態大大轉變。以國外經驗為借鏡,逐步解封後的歐美消費者行為有哪些變化?疫苗普及後的消費者會重返往日的購物習慣,回到線下實體門市消費,抑或是回不去了?以 MarTech 見長的阿物科技(awoo)發布《掌握疫情新常態!零售電商的數位行銷決勝秘笈》產業白皮書,提供台灣零售電商企業在數位行銷上實用的因應策略。

立即下載:零售電商的數位行銷決勝秘笈

疫情衝擊,零售業者的下一步何去何從?

根據 Statista 調查顯示,2020 年備受疫情衝擊的美國,其電商銷售額高達 7920 億美元,佔零售總額的 14%,相較 2015 年的電商總額成長 2 倍。疫情時代的新常態生活下,消費者愈來愈習慣線上購物,但這項趨勢可能又會因為疫苗的誕生與普及再次產生改變。

Photo Credit:阿物科技

多種調查和報導發現,疫情衝擊下的消費者行為轉變,大致如上圖所示。疫情爆發、實體門市關閉,消費者轉往線上購物,零售商也必須積極佈局電商,或改變門市策略,讓消費者可以線上訂購、線下取貨;施打疫苗後,消費者逐漸回流至實體門市,但門市業者也必須更重視線下體驗。種種購物型態轉變,促使零售業者面臨前所未有的行銷挑戰,不得不思考「零接觸經濟」的發展可能性,並且加速電商轉型,以迎接疫情時代的消費者需求。

線下 3 大策略,打造安心便利的銷售服務

危機帶來轉機,拜行銷科技發展之賜,零售業者的行銷難題並非無解,即使疫情結束,數位轉型仍是會帶來益處的必要之舉。面對線下實體服務的消費者,業者可掌握 3 項做法,提升消費者信賴感與黏著度。

  • 更新 Google 門市資訊,讓消費者轉為線下有效觸及:現在的消費者大多習慣在到訪門市前先 Google 門市資訊,因此業者務必養成更新 Google 資訊的習慣,若是店家有更動營業時間、提供外送相關服務、或有相關防疫規定,建議即時更新在 Google「我的商家」上,避免讓消費者撲空或是出現未落實防疫規定的情形。
  • 導入數位支付工具:建立 Apple pay、Google pay、Samsung pay、Line pay、街口支付等電子支付管道,讓消費者可以迅速完成交易,也避免接觸傳染的風險。
  • 線上訂購、線下取貨,或與外送平台業者合作:因應民眾宅在家網購的趨勢,業者可推出線上訂購管道,讓消費者可以自行線下取貨,或是與在地外送業者合作,即時外送到家,建構安心又便利的服務機制。

立即下載:零售電商的數位行銷決勝秘笈

Photo Credit:Arturo Rey on Unsplash

線上 6 大佈局,靈活應變才能吸引顧客

轉型電商,線上佈局的任務當然更是刻不容緩。線上策略依舊緊扣 DTC(Direct to Costumer,直接面對消費者)的初心,同時利用線上服務的靈活應變優勢,為消費者帶來有感的體驗。主要策略有以下 6 項:

  • 加強顧客關係管理系統(CRM)、POS 應用:無論是零售還是電商,盤點品牌現有的數位行銷資源與會員,絕對是最重要且最基本的功課。建構完善的資料搜集系統,後續的行銷洞察與分析都會有效率很多。
  • 善用直播和社群工具,與顧客互動:消費者喜歡到實體門市消費不是沒有原因的,像是喜歡親手觸摸衣服的質料、親身試穿、實際感受氛圍等。零售業者可利用直播或社群,盡可能帶給消費者親近、互動的體驗,增加對商品或品牌的信任度。
  • 善用 SEO 關鍵字與內容行銷:利用關鍵字搜尋或經營內容主題,讓消費者在網路上搜尋相關資訊時,可以主動找上門,觸及更多潛在顧客。
  • 精準分眾的會員行銷:如果會員管理系統的基礎建立好,就能更進一步地針對顧客偏好進行分眾行銷,提升轉換率。
  • 優化線上購物體驗:現在是消費者體驗至上的時代,尤其在這一波疫情間,電商零售業者需要花較多時間理貨、揀貨、客服等,更需要仰賴MarTech工具來優化消費者的線上購物流程,例如:建立站內搜尋引擎、Chatbot 客服機器人、簡化線上付款程序等。
  • 釐清每個階段的數位廣告目標:不管是純實體店面或電商零售業者,在每一次的行銷行為以前,都要先釐清廣告目標。數位廣告也是如此,如何在消費者行為中理出頭緒,創造有效的廣告,數據分析十分重要,可利用 Google Ads 與 Google Analytics 等分析工具找出洞察。

以上簡述的幾項策略,每一項都是值得細究的 MarTech 命題。轉型電商或佈局 MarTech,從來就不是一件簡單的事,尤其急需仰賴對於數位行銷工具的熟悉,以及線上消費趨勢的洞察。知識就是最好的助力,讀者不妨下載這份《產業白皮書》,針對上述的策略皆提供詳細的具體做法。疫情時代下思考轉型,這是所有零售業者或思考MarTech的業者可以先行的第一步。

立即下載:零售電商的數位行銷決勝秘笈

瞭解更多:阿物科技的 MarTech 趨勢解密