電信網站易受感染？當心電腦被勒索

記者甘偉中／台北報導

資訊安全業者每年都會分析防毒軟體蒐集到的數據，發表網路安全威脅研究報告，讓使用者們對於未來潛藏的危機事先做好準備。而根據2012年的調查顯示，網路威脅呈現三大趨勢：行動惡意程式與惡意網站的威脅提高、駭客鎖定中小型企業，以及製造業成為駭客首要攻擊對象。

去年行動惡意程式的增幅接近六成，其中32%的目的是竊取電子郵件帳號、手機號碼等資訊。令人意外的是，行動漏洞與行動威脅並非成正比的關係，根據資安業者賽門鐵克提供的資料顯示，去年蘋果iOS漏洞比Android還要多，然而同一時期iOS僅有一個威脅被揭露，Android卻有103個，推論Android已成為惡意程式作者的首選平台。

另一方面，企業、科技／電信、購物這三種網站，名列前五大易受感染的網站，這些使用者經常造訪的網站，容易被駭客鎖定並銷售假冒的防毒軟體。另外有兩個值得關注的新興攻擊手法，一是勒索軟體（Ransomware），攻擊者鎖住受害者的裝置，唯有在支付贖金之後，才能重新取回電腦使用權；一是惡意廣告，網路罪犯會在合法網站放置廣告，藉以隱藏攻擊程式碼。

去年針對250名員工以下的中小企業攻擊，有持續成長的趨勢，攻擊次數已達整體攻擊數的31%。小型企業通常不認為自己會成為攻擊對象，也欠缺完備的防護系統，因此成為網路罪犯竊取金融資訊、客戶資料及智慧財產權的目標，也有機會成為駭客入侵大企業的跳板。

值得注意的是，網頁式攻擊數量增加了三成，其中大多數源自小型企業被感染的網站，這些網站很有可能被駭客拿來做水坑式攻擊（watering hole attack）。攻擊者先入侵目標對象經常造訪的網站，當目標對象造訪受感染的網站時，惡意程式便悄悄的被送到受害者的電腦中。知名的駭客組織Elderwood，便在去年利用此方式在一天內，入侵多達500家企業。

而製造業取代政府機關，在去年一躍成為最常受到駭客攻擊的產業。賽門鐵克指出，由於承包商與轉包商往往擁有高價值的智財權，且對網路攻擊的抵禦能力不足，因此駭客開始鎖定產業供應鍊中的中小企業，藉以接觸並竊取合作大廠的商業機密。

因此，執行長們等高階管理階層，不再是網路罪犯最愛攻擊的目標。去年在各產業中，最容易受到攻擊的目標已成為，可存取智慧財產的研究開發人員（27%），與業務人員（24%）。