【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票…(6-1)

漏洞攻擊套件的活動將持續減少,網路犯罪集團回歸到一個更基本的漏洞那就是:人心的弱點。近年來,網路釣魚攻擊的數量開始增加,從趨勢科技所攔截的網路釣魚相關網址數量就能看出端倪。
過去一年網路犯罪集團從各種資料外洩當中累積了大量的帳號登入憑證,根據 Ponemon Institute 和 Akamai 所做的一份 報告 指出,透過自動化方式將某處偷來的同一組帳號密碼嘗試登入多個其他熱門網站的密碼填充攻擊 (credential stuffing) 手法情況日益嚴重,我們將看到網路犯罪集團利用這些偷來的帳號密碼註冊一些累積里程和點數回饋方案、註冊一些假鄉民帳號來從事網路宣傳、張貼假評論來操縱一些消費性入口網站、或者在一些社群民調上灌票等等。

當不斷有少年駭客回嗆:「不是我厲害,是你的密碼設定太弱了!」時,「Iloveyou」或「 1234 」等弱密碼卻仍年年蟬聯傻瓜密碼排行榜,網友的安全意識顯然需要加強。

另外,趨勢科技也預測 2019 年將看到一些更細膩或更新的 數位勒索手法出現。例如,青少年或青年遭到非錢財方式的勒索案例將會增加。

趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性,將這些預測分成幾大領域,並分期刊出。

網路犯罪回歸到一個基本漏洞:人心弱點;網路釣魚將取代漏洞攻擊套件,成為主要攻擊管道

 

網路釣魚攻擊 在 2019 年將大幅成長。今日,軟體與作業市場占有率分布 較以往更加零散,沒有單一作業系統能獨占一半以上的市場 (已不再像五年前的情況)。因此,網路犯罪集團也開始回歸到一個更基本的漏洞那就是:人心的弱點。的確,近年來,網路釣魚攻擊的數量開始增加,從我們所攔截的網路釣魚相關網址數量就能看出端倪。

 

已攔截的網路釣魚相關網址數量逐年攀升 (根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2018 年第三季的統計資料)。
已攔截的網路釣魚相關網址數量逐年攀升 (根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2018 年第三季的統計資料)。

未來,漏洞攻擊套件的活動將持續減少,這樣的情況據我們觀察也已持續好一段時間。

已攔截的漏洞攻擊套件活動逐年減少 (根據趨勢科技 Smart Protection Network 全球威脅情報網 2018 年第三季的統計資料)。
已攔截的漏洞攻擊套件活動逐年減少 (根據趨勢科技 Smart Protection Network 全球威脅情報網 2018 年第三季的統計資料)。

 

網路上將出現歹徒大規模運用外洩帳號密碼的實際案例

 

遭到竊取的帳號登入憑證將被歹徒積極用於大量不法交易。由於過去一年網路犯罪集團從各種資料外洩當中累積了大量的帳號登入憑證,因此這將是一項必然的發展。根據 Ponemon Institute 和 Akamai 所做的一份 報告 指出,密碼填充攻擊 (credential stuffing) 的情況日益嚴重,這是一種透過自動化方式將某處偷來的同一組帳號密碼嘗試登入多個其他熱門網站的攻擊手法。

我們將看到網路犯罪集團利用這些偷來的帳號密碼註冊一些累積里程和點數回饋方案、註冊一些假鄉民帳號來從事網路宣傳、張貼假評論來操縱一些消費性入口網站、或者在一些社群民調上灌票等等,歹徒有無限的利用方式。

您是否也是只用一組帳號/密碼行遍網路各項服務的用戶呢?如果您習慣使用同一組帳號密碼,那當您的帳號密碼被盜時,駭客可藉機入侵多數的網路服務(應用程式)帳號。刑事局曾破獲歹徒將生日、電話等個資,破解數百名 Yahoo!等網站用戶密碼,再以同一帳號密碼登入其他網站。為了防止帳號不再被盜,每次註冊新程式時,最好設定不同的帳號╱密碼!

還記得 2016年由於LinkedIn 逾一億資料外洩事件,導致被盜的帳號和密碼在黑市上交易,諷刺的是販售列表中有個知名人物竟是 Facebook 創辦人 Mark Zuckerberg 的帳號。難以置信的是,他的密碼竟是「dadada」,更令安全專家瞠目結舌的是駭客更進一步透露 Mark Zuckerberg 在不少帳戶中都使用這組密碼,這表示一旦駭客得知了他的一組帳號密碼,那麼只需要複製貼上就可以輕鬆破解其他帳號了。
無獨有偶的是「北韓版Facebook」被破解,少年駭客表示:” 其實無意要破解,只是簡單在用戶名稱輸入「admin」,而密碼輸入「password」就登入系統,他也沒想到管理者權限的帳密如此簡單”。近日媒體報導德國20歲學生入侵近千名公眾人物帳號並公布他們的個資,也是利用這些包括記者、政治人物、歌手在內的受害者所設定的 「Iloveyou」或「 1234 」等弱密碼輕易入侵了帳號。


個保護密碼實用的祕訣

1.網拍購物,勿用臉書當萬用帳號

很多網拍帳號直接連動臉書, 一個萬用帳號通行無阻,但也有一旦遭入侵時所有資料全都露的危險

✓ 建議使用不同帳號及不同密碼登錄
✓【PC-cillin 雲端版】防止個人資訊外洩 免費下載

2.採用隨機組合密碼且超過 10 個字元。而且,不能用於一個以上的帳號。

3.某些網站會讓你建立自己的密碼提示問題,建議使用與問題完全不相干的答案。

4.切勿開啟可疑的訊息或點選不明來源的連結。

5.專門竊取資訊的惡意程式會利用軟體的漏洞來滲透系統,請定期修補並更新軟體。

6.刪除不再需要的帳號。

7.仔細篩選你在社交網路上所分享的資訊,別透漏太多私人生活的細節。PC-cillin 社群防護機制,不怕隱私曝光,享受安全無虞的社群網路生活,按這裡免費下載。

8.使用密碼管理軟體。趨勢科技PC-cillin 雲端版內建的密碼管理通可為你管理每一個網路帳號的密碼。它可自動管理多個密碼,為你省去複雜的管理程序。到這裡免費下載試用

 

性勒索案例將會增加

 

我們將看到一些更細膩或更新的 數位勒索手法出現。例如,青少年或青年遭到非錢財方式的勒索案例將會增加。雖然,透過黑函的勒索行為不一定能夠得逞,但由於這類攻擊非常具針對性針,因此,受害者私下很可能會認真考慮歹徒的要求,不論是錢或性方面的要求。這樣的情況有時甚至會導致一些嚴重的後果,例如自殺 , 這樣的攻擊在 2019 年將危害更多生命。

原文出處:Mapping the Future:Dealing With Pervasive and Persistent Threats

下期待續:【2019 年資安預測】員工在家上班,將為企業帶來那些資安風險?

 

本報告為英文版,若要索取中文版,請至趨勢科技粉絲頁,私訊小編:「我要索取2019資安報告中文版」

本報告為英文版,若要索取中文版,請至趨勢科技粉絲頁,私訊小編:「我要索取2019資安報告中文版」

 

⊙ 延伸閱讀:

【影片/3C Fun 新聞首播】2018年度十大爛密碼出爐,不出所料「123456」「password」,繼續蟬聯冠亞軍 ,提醒你英文名字也是各大個資外洩事件中,弱密碼常客。

擔心自己上榜嗎? 馬上來看資安主播王酒米與工程師犬旺財為大家解說除了「Maggie」和 「George」外,還有哪些英文名字入榜:)

「你在何處遇見未來的另一半?」「你在哪個城市出生?」「你寵物的名字」旺財為何總能猜得到王酒米的密碼提示問題的答案? 網拍購物直接連動臉書當萬用帳號,有何風險?密碼太多記不住怎麼辦? 馬上來看資安主播王酒米與工程師犬旺財教給大家的小撇步

 

PC-cillin 雲端版整合 AI 人工智慧的多層式防護,精準預測即時抵禦未知威脅,「安心Pay」即時阻擋以竊取登入帳號或信用卡資訊為目標的惡意攻擊  》即刻免費下載試用

 

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數