關鍵基礎建設遭到網路犯罪攻擊的頻率和複雜度在過去十年以來一直不斷上升。我們的 2015 年「美洲關鍵基礎建設網路安全」(Cyber Security of Critical Infrastructures in Americas) 報告調查了 20 個國家超過 575 家的政府與民間企業,結果令人大開眼界。有 53% 的受訪者認為去年專門針對關鍵基礎建設 (Critical Infrastructure,簡稱 CI) 的網路攻擊比以往更多,另有 76% 表示這類攻擊越來越複雜。更重要的是,有 44% 認為他們曾遭到惡意的刪除與破壞式攻擊。
以關鍵基礎建設為目標的網路攻擊在 2015 年 12 月 23 日烏克蘭大斷電到達重大里程碑,歹徒使用惡意程式對兩座烏克蘭主要電力輸送站發動廣泛、精密的攻擊。此攻擊造成了 80,000 用戶停電六小時,並且造成至少七座 110 kV 和 23 座 35 kV 的次級電力輸送站停擺。 繼續閱讀
雖然資料外洩通常是想入侵系統的惡意分子利用惡意軟體或駭客攻擊造成,但要說資料外洩事件都是由外來者造成並不完全正確。事實上,趨勢科技在2014年3月所進行的一項調查結果顯示,19.8%的受訪者經歷過來自內部的資料外洩。註1
註1:這項調查涵蓋1,175位日本IT資安專家和決策者,同時也顯示有幾乎三分之二的受訪者曾遭遇過某種類型的資安外洩事件。
並不是說內部產生的資料外洩事件是蓄意而為,有些時候,資料外洩可能來自員工疏忽和常見的人為錯誤。最近的一起例子發生在2015年6月,一家澳洲雜貨連鎖店意外地將包含客戶資料及約八千筆禮品卡的Excel表格寄送給超過1,000名的客戶。因此讓電子郵件地址等客戶資料外流,由於郵件內還有可以下載7,941張購物券的鏈接,內含可於商店內購物的密碼,一些客戶登錄後才發現他們的購物券已被使用,零售商也被迫取消超過100萬美元的禮品卡。註2 這起事件是人為疏忽或錯誤會帶來經濟及名譽損失的最佳例子。
註2:客戶應該要收到的是帶有PDF格式禮卷的電子郵件,結果卻收到帶有客戶資料和兌換碼的 Excel表格。
人為疏忽(無論是因為不小心或缺乏知識)是網路犯罪分子會選擇(甚至是偏好)使用誘騙伎倆的原因。這讓他們可以更加輕易滲透系統而不必使用複雜的方法。
有鑑於此一資訊,必須要問:員工是組織中最脆弱的環節嗎?從許多因為員工疏忽或內賊所造成的資料外洩事件來看,這答案似乎是肯定的。註3 對於網路犯罪分子來說,透過網路釣魚(Phishing)從不知情員工手中取得所需資料會比突破網路防禦來駭入要來得容易。此外,隨著鑑識技術的增加,如入侵偵測和網路監控,網路犯罪分子要突破系統變得越來越困難,讓他們朝向最基礎但仍然有效的策略:社交工程(social engineering )。
註3:2014年出現許多因為內賊所引起的知名資料外洩事件,打擊了像巴克萊銀行、AT&T、美國國鐵和韓國信用局等組織。
這是新的戰線,企業必須在投資安全技術和根據公司最佳實作來給予員工教育訓練間取得平衡。
是人都會犯錯,能加以防範才是了不起
有人說公司最大的資產是員工。雖然這是真的,但說到安全性時,也可以肯定員工是最脆弱的環節。雖然安全性主要是IT部門的責任,員工仍然是防禦的第一道防線。因此,員工需要進行教育訓練,讓他們可以保持警覺來防禦可能的安全攻擊。 繼續閱讀
繼病毒會造成大停電, 車上聽歌 汽車被挾持,現在病毒竟可以迫使病人轉院了…
好萊塢長老教會醫療中心(HPMC)的網路已經因為勒索軟體 Ransomware 攻擊而癱瘓了一個多星期。美國聯邦調查局和洛杉磯警察一直在努力查明來源和攻擊的嚴重性,但截至發稿時,這具備430個床位的洛杉磯醫院所需要的網路和電腦相關功能包括電腦斷層掃描、實驗室工作、藥劑和文書作業都還在離線狀態。無法即時查詢病例或檢查結果,造成情況危急的病人被迫轉院治療
HPMC總裁兼執行長 – Allen Stefanek宣稱此內部緊急事件已經對急診系統造成嚴重的影響,造成必須將受影響病患轉到其他醫院。雖然沒有收集到證據顯示是否有病患或員工資料遭受未經授權存取,醫院工作人員被迫轉成在紙上手動登記掛號和其他醫療記錄。
一位會計師收到一封來自公司執行長的電子郵件,要他等待來自合作夥伴的電話,警告不要將郵件分享給任何人看,因為擔心監管單位會反彈。該公司最終因為匯款詐騙而損失48萬美元。
BEC詐騙往往從攻擊者入侵企業高階主管郵件帳號或任何公開郵件帳號開始。通常經由鍵盤側錄惡意軟體或網路釣魚(Phishing)手法達成
對抗企業郵件受駭,該如何開始?
如果你公司的高階主管透過電子郵件要求你為業務支出匯款,你會怎麼做?
網路犯罪分子會奸詐地計畫社交工程(social engineering )和入侵電腦計畫來誘騙員工匯款,企業因為郵件詐騙而遭受嚴重的危險。此一新興的全球性威脅被稱為企業郵件受駭(business email compromise,BEC),光在2013年10月到2015年8月間就已經有79個國家的8,179家公司受害。
BEC 詐騙為網路犯罪分子帶來可觀的收入。美國聯邦調查局光是過去一年就因為這類型的電子郵件而發出多次警告。美國聯邦調查局指出其目標是會與外國供應商合作或會定期進行電匯付款的公司。在去年二月,回報的受害者總數達到2,126家,損失達2億1,500萬美元。到了八月,受害者人數已激增到8,179家,損失增加到近8億美元。
你要怎麼保護自己的公司不要成為上述數字的一部分?
每一次下載應用程式前先主動搜尋資料再按下「接受」。忽略像檢查權限或應用程式所需資料等事情都可能產生嚴重的後果。
經過14個月對2014年資料外流(包括超過5萬名現任和前任司機的姓名和駕照號碼)事件的調查,Uber(優步)最近要在紐約繳出2萬美元的罰款。這款應用程式背後市值數十億美元的新創公司也因為被發現該應用程式可以在未經同意下追蹤乘客位置而飽受批評。
「我們致力於保護消費者隱私及紐約州任何產品的客戶,包括公司在此地的員工。我強烈建議所有的科技公司定期檢討和改進自己的政策和程序來更好地保護自己客戶和員工的私人資料,」紐約州檢察長Scheiderman指出。「這協議保護Uber(優步)乘客的個人資料不被公司高層或員工濫用,包括乘客在Uber(優步)車輛內的即時定位。」
除了因為沒有披露2014年9月的資料外洩事件給相關團體及檢察長辦公室而遭受罰款外,這協議還強制要求改善及加強有爭議的資料隱私和安全措施。根據協議,Uber(優步)強制要「加密乘客定位資訊,任何員工要存取特別敏感乘客個人資料前要採用多因子認證,還有其他先進的資料安全做法。」
大約在2014年11月開始被探究的同時,Uber(優步)發言人Natalia Montalvo在備忘錄中指出,「我們的業務仰賴數百萬使用Uber(優步)乘客和司機的信任。我們乘客的乘車紀錄是重要的資料,我們知道必須認真且尊重地對待,保護它免於未經授權的存取。」這段話是因為其「非法」存在的「天眼系統」爭議,這是一個會收集和顯示消費者個人資料的追蹤系統。
你下載,他們收集:行動應用程式的隱私問題
Uber(優步)從2010年出現開始就一路突飛猛進到現在,該應用程式已經涵蓋了60個國家,超過300個城市,有800萬人下載和使用。該公司估計每天有一百萬次乘客透過該應用程式叫車。特別的是,在早些時候,有報導指出舊金山最大的計程車公司 – Yellow Cab Co-Op因為來自高科技產業對手如Uber(優步)和Lyft強大的挑戰而面臨申請破產邊緣。隨著應用程式涵蓋範圍增加及快速的成長,類似資料隱私等問題也開始成為重大的問題。 繼續閱讀