資安威脅歷歷在目 個人與企業不容輕忽大意

持平而論，台灣相較於世界各國，資安意識並不算高；有關這點，只要觀察Shodan.io網站揭露的統計數據，即可看出端倪，台灣所使用的網路攝影機、NAS或相關套件中，超過9,000台採用預設帳號與密碼，數量之高居於全球首位，相當令人咋舌，顯見國人對於去年所發生的Mirai DDoS攻擊事件，感觸並不夠深。

在此前提下，肯定有不少人認為，業界一再倡議資訊安全，似乎有些危言聳聽，但事實上並不然。按美國FBI轄下網路犯罪投訴中心(Internet Crime Complaint Center)所公佈的數據顯示，2016年美國網路犯罪案件數超過29.8萬，較2015年略增，儘管增幅尚稱緩和，但箇中仍蘊含讓人驚悚的趨勢，也證實了網路犯罪不僅在世界上流竄，且殺傷力愈來愈強，倘若個人或企業依舊掉以輕心，唯恐在未來付出慘重代價。

若以網路犯罪所造成的金錢損失而論，2015年大約10.7億美元，已超過新台幣300億元之譜，時至2016年，損失金額則推升到13.3億美元，上看新台幣400億大關，年增率超過兩成四，比起案件數的成長幅度更大，顯示已有愈來愈多高危害性的網路犯罪型態出現。

電郵詐騙的殺傷力驚人

究竟有哪些高危害性的網路犯罪？若欲選出榜首，絕對是「變臉詐騙」(BEC)。在2016年期間，美國一共投訴了12,005起BEC案件，僅佔了整體案件數的4%左右，乍看之下並不算太嚴重，但如果從損失金額的角度來看，BEC就是一門極具破壞性的犯罪手段。2016年因為BEC而造成的損失高達3.6億美元，整體佔比為27%，顯見對於駭客而言，BEC的「投資報酬率」相當高。

事實上，不僅美國因為BEC損失慘重，台灣的受災戶也不在少數，尤其是一些外貿導向的中小企業。其常見的攻擊情境是這樣的，駭客入侵得逞後，持續監控受駭企業的郵件溝通情況，從中掌握該企業所屬供應鏈或中大型客戶的相關資訊，也對於彼此匯款模式與習性有所認知。

直到時機成熟，駭客便偽冒大型供應夥伴的執行長或財務長，發送造假信件予該企業，言明因為種種緣故需要換置匯款帳戶，要求該企業的財務人員將款項匯入該帳號；往往直到供應夥伴遲遲未收到款項，一經詢問，才讓企業赫然發現遭致詐騙，因而蒙受可觀損失。

根據以色列資安服務商Cyren的統計，因電子郵件而引發詐騙或惡意攻擊的趨勢，確實呈現逐年攀升之勢；儘管數據的發生時點距今有些久遠，但仍具參考價值。在2015年期間，全球每天有517.5億封垃圾郵件，即便為數龐大，然而年增率呈現負值，足見危害程度逐漸減緩，反倒應當留意的，則是仍在上升趨勢的釣魚郵件、惡意軟體。

以夾帶惡意軟體的信件而論，全球每天有9,554封，較前一年度增加14%，成長幅度頗為顯著；另外論及釣魚郵件，日平均產量最低僅396萬封，但它卻是以55%的高年增率陡角揚升，成為企業今後必須提高警覺的郵件威脅項目。

所謂網路釣魚(Phishing)，即是駭客意圖透過電子郵件、通訊軟體獲取你的個資，進而竊取你的身份認證；多數網路釣魚會企圖讓自己看起來像是一般行為，例如來自銀行、信用卡公司、信譽良好的公私立機構的正式通知，但事實上卻在訊息中夾帶惡意連結，誘使你來到幾可亂真的山寨網站，提供帳號密碼，滿足駭客預期的犯罪目標。

惡意軟體量少質精，破壞性未減反增

近年讓人聞之色變的勒索病毒，最常見的攻擊方式，便是透過釣魚信件。早年常聽人建議，凡是看到陌生人寄來的信件，千萬不要開啟，否則就有可能感染勒索軟體，但其實到了近期，勒索病毒經常使用社交工程郵件手法，達到綁架電腦之目的，更教人防不勝防。

依照本文一開始所引用的FBI網路犯罪投訴中心報告，繼變臉詐騙之後，嚴重性名列第二的網路犯罪手段，便是勒索軟體，總計2016年在美國發生2,673起案例，造成約240萬美元的損失。

儘管台灣在資安素養層面有待提升，但在各種網路犯罪型態當中，勒索軟體算是讓國人最為有感的威脅，只因為它近幾年可謂肆虐全球、哀鴻遍野，不少人就算本身不是受災戶，從週遭親朋好友中，也不難找到遇難者。

根據卡巴斯基實驗室所披露的2017年第一季惡意軟體追蹤報告，共計出現了11個新增的加密惡意軟體家族，以及高達55,679個最新變種，據聞部份變種會將加密程式模組裝載到系統目錄，增加使用者清除的難度，更有甚者，針對行動裝置而設計的勒索軟體，也在2017年首季達到218,625個之多，比起前一季的61,832，增長幅度相當驚人。

據了解，埋伏在行動裝置的勒索軟體一經運行，木馬即要求取得管理員權限，蒐集關於該裝置的諸多資訊，包括GPS、通話記錄等等，並且將這些資訊上傳到伺服器，接著伺服器會根據所得數據發送指令，指揮木馬繼續鎖定裝置。

總括而論，迄今已在世上曝光的惡意軟體，其累積數量已相當龐大，據資安測試機構AV-TEST統計，現今差7億大關只剩一步之遙；回顧2012年，當時還未達1.1億水準，等於之後用了不到5年，便漲升至少6倍之多。

也許有人看過AV-TEST的這份報告而稍感欣慰，只因2016年新增的惡意軟體樣本數為1.28億左右，明顯較2015年的1.44億為低，是2006年以來首度減少，足以推論網路攻擊態勢逐漸和緩。但其實AV-TEST提到，惡意軟體樣本增速減緩，並不意謂資安威脅驟降，只能說明攻擊者愈來愈在意攻擊成效與品質，務求以少量質精的惡意軟體達到犯罪目的，由此可見，個人或企業今後所面臨的風險反而更大，萬萬不可對防護基本功有所懈怠。