賽門鐵克：駭客對購物網站進行「表單劫持」成新主流，直接將你在網路上的信用卡刷卡資訊轉走

近日網路安全公司賽門鐵克，發表了 2019 年度的《網路安全威脅報告》，透過深度分析全球超過 157 個國家和地區的 1.23 億個監測終端報告的攻擊事件，回顧 2018 年網路世界的威脅發展趨勢。

賽門鐵克於報告中指出，每十個駭客集團中，就有一個在使用惡意軟體破壞和擾亂商業活動，而且這種攻擊行為與 2017 年相比增長了 25%，攻擊者的策略也是花樣翻新、層出不窮。

特別值得關注的，是賽門鐵克發現到攻擊者從過去的個人目標，逐漸轉向較有規模的企業，光是企業勒索軟體的感染數量，就比去年激增 12%。

▲ 賽門鐵克大中華區首席營運官羅少輝（左），以及台灣賽門鐵克首席技術顧問張士龍（右）。

而當企業開始採用雲端儲存後，其資源更榮易被數位竊賊得手，目前已有 7,000 多萬條記錄，從配置不佳的 S3 公有雲存儲貯體被盜或洩露。物聯網的發展也讓越來越多的攻擊者，開始覬覦存在潛在漏洞的生產線及工業控制系統。

「表單內容劫持」成為駭客新寵

根據賽門鐵克的深度分析，去年有一項攻擊方式成為駭客竊取機密資料的新寵，這即是「表單內容劫持」（Formjacking）。

網路犯罪分子通過將惡意程式碼植入零售商網站，藉此竊取購物者的信用卡資訊。賽門鐵克表示，全球平均每個月都有超過 4,800 個不同的網站，遭到表單劫持代碼入侵，尤其在網購高峰期的 11、12 月最為嚴重。

當不法份子透過「表單內容劫持」取得消費者的機密資訊後，就會於地下銷售論壇上販賣，每筆最高可叫賣到 45 美元；換句話說，駭客只要從每個植入代碼的網站竊取 10 張信用卡資訊並出售，每月收益便可高達 220 萬美元。

虛擬幣價格影響惡意軟體

至於先前十分流行的「勒索軟體」及「加密劫持」威脅，根據賽門鐵克的報告，其攻擊活動在去年下降了許多，主要原因在於駭客可藉此取得的收益縮水。

所謂「加密劫持」，就是於軟體或網頁中埋藏程式碼，接著透過受害者的 CPU 資源進行挖礦工作，讓駭客取得虛擬貨幣。

但是隨著加密貨幣的價值下跌超過 90%，以及雲端和移動計算的採用率普及增加，「勒索軟體」及「加密劫持」的攻擊方式反而讓駭客們變得力不從心。

就統計資料來說，自 2013 年以來「勒索軟體」的感染率下降了 20%，「加密劫持」則減少了 52%。然而，針對個人的「勒索軟體」威脅風險雖然下降，但企業遭到「勒索軟體」感染的比率卻跳漲 12%，與總體下降趨勢相反，這顯示出勒索軟體對企業的威脅還在持續增加。

企業雲端保密很重要

雲端的發展也為企業資訊安全帶來困擾。就如同企業最初採用 PC 時出現過的安全問題，不少同樣的風險又重新將在雲端發生。舉例來說，單個錯誤配置的雲主機或存儲實例，將會給企業帶來數百萬美元的損失，或者讓其陷入違規危機。

僅統計 2018 年，就有超過 7,000 萬條記錄，從配置不當的 S3 存儲桶中被盜或洩露。此外，攻擊者還有很多工具，可用於識別網際網路上錯誤配置的雲資源，都變成了潛在的攻擊目標。

最新發現的硬體晶片漏洞，包括 Meltdown、Spectre 和 Foreshadow 等，都造成雲服務面臨被利用的風險，攻擊者能趁機利用這些漏洞，進入伺服器上受保護的記憶體空間，從而竊取同一實體伺服器上其他企業的資源。

全新的「就地取材」攻擊模式

賽門鐵克說，「就地取材」（LotL）的攻擊模式，已經成為現代資訊威脅的主流。所謂「就地取材」，就是駭客會將惡意軟體的活動，隱藏在大量合法進程中。舉例而言，去年透過 Windows 內建的 PowerShell 執行惡意腳本的攻擊事件就增加了 1,000%。

報告中指出，雖然賽門鐵克公司每個月能攔截 115,000 個惡意 PowerShell 腳本，但實際上這還不到 PowerShell 整體使用率的 1%，若選擇阻止所有 PowerShell 的活動，企業會受到很大的影響，這也進一步說明了為什麼 LotL 技術會成為許多攻擊者的首選策略。

物聯網比想像中還不安全

物聯網興起也帶來許多顯而易見的安全風險。賽門鐵克發現，雖然物聯網攻擊數量與 2017 年一樣居高不下，但網路攻擊情況發生了巨大變化，最容易受感染的設備是路由器與網路攝影機，占比超過 90%。

即便如此，幾乎每台物聯網設備都容易遭到攻擊，無論是智能電燈還是語音助手，都為攻擊者提供了入侵的新機會。

智慧型手機的隱私問題

報告的最後，賽門鐵克指出智慧手機可以說是有史以來最方便的監視設備，它集攝影機、監聽設備和位置跟蹤器於一身，無論用戶走到哪裡，都可以隨身攜帶和使用。

其中 App 的隱私侵犯問題特別值得關注。根據賽門鐵克研究，45% 的最常用 Android 應用和 25% 的最常用 iOS 應用請求使用位置跟蹤，46% 的主流 Android 應用和 24% 的主流 iOS 應用請求獲得設備攝影機存取權限，44% 的熱門 Android 應用和 48% 最受歡迎的 iOS 應用要求共用電子郵寄地址。