2016預測 - 資安趨勢部落格

每年，網路安全界一些成功和失敗的故事，不僅給我們許多寶貴的教訓，也讓我們對可預見的未來有所啟發。只要細心觀察，我們就能發現一些拼圖線索，進而拼湊出未來的樣貌。隨著 2015 年逐漸邁入尾聲，讓我們來回顧一下這一整年所發生的事件，並利用這些資訊來預測一下未來的走勢。

對於網路犯罪集團如何不斷發揮創意來攻擊一些意想不到的目標，過去已經有很多討論。然而過去這一年，卻證明了網路犯罪集團其實不需最先進的技術或精密的手法就能得逞。有時候，歹徒只需掌握每一種手法背後的受害者心理，就能彌補技術上的不足。簡單來說，整體威脅趨勢正朝向「個人化」發展。

過去十年來，網路勒索都是利用受害者的恐懼心理。這一點，從最早的勒索軟體 Ransomware到今日完全進化的精密版本都能看到。未來，恐懼仍將是任何勒索手段的重要元素，而且隨著手法越來越個人化，受害者將更容易被歹徒予取予求。

同樣的動力，也驅使著駭客激進份子藉由竊取資訊來從事更具破壞力的攻擊，進而徹底摧毀其鎖定目標的信譽和名聲。歹徒可利用外洩的資料來進行資料採礦，但其目標並不一定是為了牟利，而是為了揭發企業的某些作為，或者取得機密資訊。

新一代科技也很可能成為攻擊目標。智慧連網家用裝置的不斷成長，將促使網路駭客利用一些未修補的漏洞來發動一場全面性攻擊。眼前雖還看不到大規模攻擊即將降臨的跡象，但消費性智慧型裝置故障而導致人身傷害卻是很有可能發生的情況。

在行動領域，新一代支付機制將吸引歹徒的覬覦，進而將目標從 EMV 信用卡移轉至行動錢包，屆時這類號稱「更安全」的支付平台將受到嚴格考驗。行動惡意程式未來仍將呈倍數成長，原因是使用者的使用習慣不佳，以及中國境內非官方應用程式商店的發達。

不過，儘管威脅不斷演進，網路犯罪集團也不斷開發新的手法，但之前為了遏止網路犯罪所做的努力仍將看到具體成果。使用者意識的提升以及民間企業和執法機關的通力合作將發揮成效，使得立法、破獲、逮捕以及定罪的速度加快。

2015 年的趨勢、事件及故事如何為我們照亮未來？這些重大的發展如何影響明日的威脅情勢？請按下方的按鈕來閱讀有關影響 2016 年發展的重大趨勢。

2016 年，儘管我們將看到網路安全領域獲得重大進展，但這些重大進展與我們即將面對的威脅之間仍隔著一條細微的界線。科技的不斷進步 (不論是犯罪軟體或是我們的日常生活科技) 將帶來全新的攻擊方式。因此，資安產業以及社會大眾，最好預先提高警覺，以防範這些科技遭到濫用，甚至造成財物損失和人身傷害。

2016 年資安預測

床頭櫃上鈴聲大作的手機讓他從睡夢中驚醒。Rick Davidson 坐了起來，伸手過去拿起他放在筆電和公司識別證旁邊的智慧型手機，識別證上寫著：Smart Life, Ltd. 品保經理。時間是 2016 年 9 月最後一天的凌晨 3:00。他的收件匣有五封新郵件，一封來自 JohnMeetsJane.com 約會網站的營運長 Eric Nielsen。

這封郵件證實了新聞上有關駭客團體 Hackers United 所造成的一起資料外洩。信件中隨附了一張網站遭人入侵的畫面抓圖，畫面上斗大的紅色字寫著：「祕密已經外流」。這封謹慎撰寫的道歉函，表達了網站系統管理員深深的歉意。這是過去五個月來第三起網路約會服務網站遭到攻擊。信件最後，該公司保證會加強會員的安全和隱私權，並且將僱用一位新的資料防護長 (Data Protection Officer)。但這一切對 Rick 來說都已經沒有意義。

他發呆了幾秒之後才將視線移開這封郵件，他的手在顫抖，雖然他的帳號已經將近一年沒用，但這不是重點。重點是，他是個已婚男人，而他的身分資料以及他在這個約會網站上的祕密行蹤，現在都落入了駭客手中。

Rick 深知這類外洩事件將成為新聞媒體追逐的焦點。就在幾個月前，一位好萊塢明星因為不堪入耳的電話錄音在網路上瘋傳而成了今年最爭議的人物之一。而這一小段致命的錄音，只是某個雲端儲存平台失竊的數百萬個檔案的其中一個。但這短短幾分鐘的曖昧對話，卻讓該明星因而失去了一紙數百萬美元的代言合約。諷刺的是，該明星原本要代言的正是 Rick 公司即將推出的最新智慧型汽車。

就在 Rick 還無力打開剩餘的郵件之前，他的電話響了。電話的另一頭是他的上司，聽起來暴跳如雷。因為，其公司最新車款 Zoom 2.1 剛剛又爆發了另一樁新聞事件。過去幾個月當中，他們已曾經多次接獲車主被鎖在 Zoom 車內的投訴，而 Rick 的團隊也因此正在進行深入調查，但最新的投訴卻比以往任何一件事都來得嚴重。若這起事件在網路上瘋傳，Rick 根本不敢想像後果將會如何。

就在他掛掉電話之後，他的筆電上又傳來另一封郵件。他心不在焉地將它點開。一張紅色的桌布赫然占滿了整個畫面。上面寫著一個令他頭皮發麻的熟悉訊息：「祕密已經外流：您有 72 小時的時間付款。」

現在才不過凌晨 4:00，接下來，到底還要發生什麼更悲慘的事？

2016 年將會是網路勒索之年。

過去十年當中，網路勒索集團利用了勒索軟體 Ransomware來誘騙網路使用者掉入他們設下的陷阱。並且利用人們的恐懼來迫使受害者支付贖金。而假防毒軟體詐騙則是利用使用者擔心電腦中毒的心態。勒索軟體 Ransomware的早期變種會將受害者的螢幕鎖住，迫使他們支付贖金以便解開電腦。警察木馬程式專門抓住受害者違法的小辮子來恐嚇受害人付款，不然就威脅加以逮捕或處以罰款。最後是加密勒索軟體，這類網路犯罪集團的目標是電腦裡最寶貴的部分，也就是資料。
【延伸閱讀】《勒索軟體 Ransomware》警察木馬:不給 100 萬歐元,就讓你的電腦變石頭

未來，網路勒索集團將會想出更多新的方法來針對個別受害者的心理，讓每一次的攻擊變得更「個人化」，不論其目標是特定使用者或是某家企業。名譽就是一切，因此能夠威脅個人或企業名譽的攻擊，不但非常有效，而且最重要的，非常有利可圖。

除此之外，企業也將掉入最新社交工程（social engineering ）誘餌的精密陷阱當中。我們將看到一些誘騙員工將款項匯到犯罪集團戶頭的詐騙大量增加。歹徒將利用其對目標對象業務的熟悉度來暗中行動，攔截企業與合作夥伴之間的通訊，例如 HawkEye、Cuckoo Miner 及 Predator Pain 攻擊行動就是使用這類手法。