趨勢科技 TrendMicro – 第 496 頁

PC-cillin 2016 新增網路交易憑證偵測功能,線上轉帳、購物更放心

2015 年 11 月 23 日2015 年 11 月 24 日趨勢科技 TrendMicro

銀行惡意程式持續肆虐感染美、英、日網銀使用者眾台灣也成受駭國家之一

PC-cillin 2016新增網路交易憑證偵測功能　線上轉帳、購物更放心 台北資訊月超值回饋現場加贈多重好禮 繼續閱讀

2016：網路勒索年

2015 年 11 月 23 日2015 年 11 月 23 日趨勢科技 TrendMicro

網路犯罪其實並不是新鮮的玩意：它只是用新的工具來進行犯罪。而書本上最古老的犯罪形式之一就是勒索。勒索其實只是種簡單的計算：

你會做X。
如果你不做X，我會做Y。

對你來說，X是有害或痛苦的事情，而Y則是更加有害或痛苦的事情。而X對我來說是有好處的事情。

勒索並非新的網路犯罪。至少自2000年初就開始存在了，攻擊者會向網站勒索金錢，如果沒有付錢就威脅對網站發動分散式拒斷服務（DDoS）攻擊。

但是在2016年的完整預測中，我們說「2016將會是網路勒索年」。這是什麼意思呢，勒索又不是什麼新事物？繼續閱讀

趨勢科技公布2016 年資安預測網路勒索威脅更加頻繁行動惡意程式數量倍增行動支付系統成新興攻擊目標

2015 年 11 月 20 日2015 年 11 月 20 日趨勢科技 TrendMicro

台北訊】全球資安軟體與解決方案領導廠商趨勢科技 (東京證券交易所股票代碼：4704)發表2016年度資安預測報告：「細微的界線：2016 年資安預測」(The Fine Line: 2016 Security Predictions)。報告指出網路勒索將更頻繁、行動惡意程式威脅數量在2016年底將成長至2,000萬，而新一代行動支付系統將成為駭客的重點目標。同時，隨著萬物聯網日益普及，民眾身邊將有更多連網裝置，預期2016將可能發生重大消費型智慧裝置故障事件。因應更加猖獗的網路犯罪行為，2016年全球打擊網路犯罪的行動將有更多具體改革，包括立法速度將變得更為迅速，公私部門合作也將更為密集，化守為攻主動出擊，打造更安全的網路環境。

趨勢科技防雙方是非常重要的一年。政府機關與企業機構將更重視網路安全，會有更多立法改革，而將有更多企業於組織中設置資訊安全長一職以統籌規劃企業資訊安全政策。然而，隨著使用者對網路威脅的意識不斷提升，駭客勢必會做出相對回應，於2016年發展出更精密且個人化的手法來攻擊特定人士或企業，如何善用威脅情報、建立客製化防禦能力在未來更顯重要。」

此外，報告指出2016 年也是惡意廣告的重要轉捩點。目前，美國已有 48% 的消費者正在使用網路廣告攔截軟體，而今年的全球使用率亦成長了 41%，這將使得廣告商開始改變網路廣告的經營方式，同樣地，網路犯罪集團也將試著尋找取得使用者資訊的其他途徑。

2015年發生數件鎖定知名企業的資安攻擊事件，包括Sony、Ashley Madison與Hacking Team 資料外洩事件等。趨勢科技預測2016 年將有更多駭客激進份子，藉竊取可對目標機構造成傷害的資料來發動「毀滅性」攻擊，而網路勒索將因採用心理學的犯罪手法與社交工程（social engineering ）的應用而加速發展。駭客激進份子將盡可能揭露更多不利資訊來打擊目標對象，造成二次傷害。繼續閱讀

< 資安預測> 2016 年將會是網路勒索之年

2015 年 11 月 20 日2015 年 11 月 04 日趨勢科技 TrendMicro

每年，網路安全界一些成功和失敗的故事，不僅給我們許多寶貴的教訓，也讓我們對可預見的未來有所啟發。只要細心觀察，我們就能發現一些拼圖線索，進而拼湊出未來的樣貌。隨著 2015 年逐漸邁入尾聲，讓我們來回顧一下這一整年所發生的事件，並利用這些資訊來預測一下未來的走勢。

對於網路犯罪集團如何不斷發揮創意來攻擊一些意想不到的目標，過去已經有很多討論。然而過去這一年，卻證明了網路犯罪集團其實不需最先進的技術或精密的手法就能得逞。有時候，歹徒只需掌握每一種手法背後的受害者心理，就能彌補技術上的不足。簡單來說，整體威脅趨勢正朝向「個人化」發展。

過去十年來，網路勒索都是利用受害者的恐懼心理。這一點，從最早的勒索軟體 Ransomware到今日完全進化的精密版本都能看到。未來，恐懼仍將是任何勒索手段的重要元素，而且隨著手法越來越個人化，受害者將更容易被歹徒予取予求。

同樣的動力，也驅使著駭客激進份子藉由竊取資訊來從事更具破壞力的攻擊，進而徹底摧毀其鎖定目標的信譽和名聲。歹徒可利用外洩的資料來進行資料採礦，但其目標並不一定是為了牟利，而是為了揭發企業的某些作為，或者取得機密資訊。

新一代科技也很可能成為攻擊目標。智慧連網家用裝置的不斷成長，將促使網路駭客利用一些未修補的漏洞來發動一場全面性攻擊。眼前雖還看不到大規模攻擊即將降臨的跡象，但消費性智慧型裝置故障而導致人身傷害卻是很有可能發生的情況。

在行動領域，新一代支付機制將吸引歹徒的覬覦，進而將目標從 EMV 信用卡移轉至行動錢包，屆時這類號稱「更安全」的支付平台將受到嚴格考驗。行動惡意程式未來仍將呈倍數成長，原因是使用者的使用習慣不佳，以及中國境內非官方應用程式商店的發達。

不過，儘管威脅不斷演進，網路犯罪集團也不斷開發新的手法，但之前為了遏止網路犯罪所做的努力仍將看到具體成果。使用者意識的提升以及民間企業和執法機關的通力合作將發揮成效，使得立法、破獲、逮捕以及定罪的速度加快。

2015 年的趨勢、事件及故事如何為我們照亮未來？這些重大的發展如何影響明日的威脅情勢？請按下方的按鈕來閱讀有關影響 2016 年發展的重大趨勢。

2016 年，儘管我們將看到網路安全領域獲得重大進展，但這些重大進展與我們即將面對的威脅之間仍隔著一條細微的界線。科技的不斷進步 (不論是犯罪軟體或是我們的日常生活科技) 將帶來全新的攻擊方式。因此，資安產業以及社會大眾，最好預先提高警覺，以防範這些科技遭到濫用，甚至造成財物損失和人身傷害。

2016 年資安預測

床頭櫃上鈴聲大作的手機讓他從睡夢中驚醒。Rick Davidson 坐了起來，伸手過去拿起他放在筆電和公司識別證旁邊的智慧型手機，識別證上寫著：Smart Life, Ltd. 品保經理。時間是 2016 年 9 月最後一天的凌晨 3:00。他的收件匣有五封新郵件，一封來自 JohnMeetsJane.com 約會網站的營運長 Eric Nielsen。

這封郵件證實了新聞上有關駭客團體 Hackers United 所造成的一起資料外洩。信件中隨附了一張網站遭人入侵的畫面抓圖，畫面上斗大的紅色字寫著：「祕密已經外流」。這封謹慎撰寫的道歉函，表達了網站系統管理員深深的歉意。這是過去五個月來第三起網路約會服務網站遭到攻擊。信件最後，該公司保證會加強會員的安全和隱私權，並且將僱用一位新的資料防護長 (Data Protection Officer)。但這一切對 Rick 來說都已經沒有意義。

他發呆了幾秒之後才將視線移開這封郵件，他的手在顫抖，雖然他的帳號已經將近一年沒用，但這不是重點。重點是，他是個已婚男人，而他的身分資料以及他在這個約會網站上的祕密行蹤，現在都落入了駭客手中。

Rick 深知這類外洩事件將成為新聞媒體追逐的焦點。就在幾個月前，一位好萊塢明星因為不堪入耳的電話錄音在網路上瘋傳而成了今年最爭議的人物之一。而這一小段致命的錄音，只是某個雲端儲存平台失竊的數百萬個檔案的其中一個。但這短短幾分鐘的曖昧對話，卻讓該明星因而失去了一紙數百萬美元的代言合約。諷刺的是，該明星原本要代言的正是 Rick 公司即將推出的最新智慧型汽車。

就在 Rick 還無力打開剩餘的郵件之前，他的電話響了。電話的另一頭是他的上司，聽起來暴跳如雷。因為，其公司最新車款 Zoom 2.1 剛剛又爆發了另一樁新聞事件。過去幾個月當中，他們已曾經多次接獲車主被鎖在 Zoom 車內的投訴，而 Rick 的團隊也因此正在進行深入調查，但最新的投訴卻比以往任何一件事都來得嚴重。若這起事件在網路上瘋傳，Rick 根本不敢想像後果將會如何。

就在他掛掉電話之後，他的筆電上又傳來另一封郵件。他心不在焉地將它點開。一張紅色的桌布赫然占滿了整個畫面。上面寫著一個令他頭皮發麻的熟悉訊息：「祕密已經外流：您有 72 小時的時間付款。」

現在才不過凌晨 4:00，接下來，到底還要發生什麼更悲慘的事？

2016 年將會是網路勒索之年。

過去十年當中，網路勒索集團利用了勒索軟體 Ransomware來誘騙網路使用者掉入他們設下的陷阱。並且利用人們的恐懼來迫使受害者支付贖金。而假防毒軟體詐騙則是利用使用者擔心電腦中毒的心態。勒索軟體 Ransomware的早期變種會將受害者的螢幕鎖住，迫使他們支付贖金以便解開電腦。警察木馬程式專門抓住受害者違法的小辮子來恐嚇受害人付款，不然就威脅加以逮捕或處以罰款。最後是加密勒索軟體，這類網路犯罪集團的目標是電腦裡最寶貴的部分，也就是資料。
【延伸閱讀】《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭

未來，網路勒索集團將會想出更多新的方法來針對個別受害者的心理，讓每一次的攻擊變得更「個人化」，不論其目標是特定使用者或是某家企業。名譽就是一切，因此能夠威脅個人或企業名譽的攻擊，不但非常有效，而且最重要的，非常有利可圖。

除此之外，企業也將掉入最新社交工程（social engineering ）誘餌的精密陷阱當中。我們將看到一些誘騙員工將款項匯到犯罪集團戶頭的詐騙大量增加。歹徒將利用其對目標對象業務的熟悉度來暗中行動，攔截企業與合作夥伴之間的通訊，例如 HawkEye、Cuckoo Miner 及 Predator Pain 攻擊行動就是使用這類手法。

2016 年至少將發生一件致命的消費型智慧裝置故障事件。

2015 年，我們看到許多裝置遭到駭入的事件，從嬰兒監視器、智慧型電視到連網汽車都有。儘管使用者對連網家電和裝置的資安風險意識越來越高，但社會大眾對這股吹向各領域的智慧化風潮，依然抱持著高度的興趣。繼續閱讀

如何避免成為下一個摩根大通：分析十年來的入侵外洩事件

2015 年 11 月 20 日2015 年 11 月 30 日趨勢科技 TrendMicro

摩根大通及其他金融機構成為了一起持續多年的網路攻擊活動受害者，(請參考: 美國最大銀行摩根大通被駭，8千多萬家庭及企業資料遭竊取)如果說這駭人聽聞的消息能夠教導我們什麼，那就是全國最大的金融機構在面對駭客攻擊時也還是非常脆弱。這一波有近1億筆的客戶資料被竊，而美國各地和其他地方的金融機構都無疑地會想知道自己是否會成為下一個。這並不令人驚訝，因為金融機構所擁有的資料類型恰恰是駭客所想要的目標。

但你可能會很驚訝地發現，它們並非美國最常被攻擊的產業。事實上，根據趨勢科技的最新研究發現，它只佔過去十年來有記錄資料外洩事件的10%，。而且當談到身分竊盜，它甚至並非前三名。

有關資料外洩的真相

為了要揭開過去十年來資料外洩趨勢的真相，趨勢科技分析了非營利隱私權資訊交流中心從2005至2015年的數據，做出了兩份互相搭配的「跟著資料走」報告。對這段時間區間進行深入地研究，讓我們能夠準確地去演繹其模式和趨勢。我們發現零售業是到目前為止被攻擊得最慘的產業，佔這段時間內資料外洩事件的47.8%左右。金融業遠遠落在其後，以10.2%排在第二，再來是醫療保健（5.5%）。

事實上，根據趨勢科技的分析顯示，類似於政府機構，金融業有著一個很明顯的模式，資料外洩事件會在某年突然出現高峰（2006年，2010年）之後接著數年下降。這些年資料外洩事件數量的下降可能是因為產業會因為重大事件而實施新的政策、協議和程序。

10%仍然是資料外洩相當大的數目，而且我們也必須要記住，這僅僅是對有記錄事件的分析 – 可能有更多是我們所不知道的。這些機構會儲存的資料類型通常都是駭客所高度關注的。可以快速而方便地貨幣化 – 通常會利用偽造信用卡、支付帳單詐騙和從受害者銀行帳戶轉出。此外，跟其他產業的攻擊者會有一兩個特別青睞的資料外洩方式不一樣，遺失或被竊，駭客或惡意軟體，內部威脅和無意洩漏等事件在這十年來相當均勻地分佈著。但是，或許是因為新政策和程序所發揮的積極效果，遺失或被竊事件持續下降，但是駭客攻擊，惡意軟體和內部威脅卻在增加。繼續閱讀