你常用信用卡結帳嗎?要小心被駭客竊取信用卡資料。趨勢科技首度在台灣舉辦全球資安趨勢交流大會(Threat Expert Summit),發表2015年第一季資安報告指出,台灣名列最常遭受PoS攻擊的第三大國家,不法駭客透過攻擊銷售櫃台PoS系統的資料,取得信用卡資料,醫療產業也有大量個資外洩的事件發生。
趨勢科技全球技術長Raimund Genes指出,2015年資安威脅有四大趨勢:
1、出現針對PoS及醫療產業的大規模攻擊
2015年第一季就有近一億美國人的醫療個資遭外洩。至於PoS攻擊,Raimund Genes解釋,網路犯罪駭客鎖定PoS系統,是為了取得信用卡資料。台灣和美國大部分都還是用磁條信用卡,但是磁條信用卡的風險最高,當使用者在餐廳結帳時,名字、卡號等資訊全都儲存在PoS系統裡,一旦駭客攻擊PoS系統,就容易取得使用者的信用卡資訊。
事實上,美國信用卡的交易量占全球的25%,信用卡相關的詐騙案占比卻高達五成以上,也讓美國下令2015年10月前全面轉換成晶片密碼信用卡。Raimund Genes說,歐洲的信用卡大多都是用晶片密碼信用卡,比較安全,而且又加上PIN碼的雙重認證,讓歐洲PoS攻擊的情況比較低,而美國的磁條信用卡很方便使用,卻也造成問題,而現在美國若要轉換所有的信用卡的話,所費不貲。
(圖說:趨勢科技全球技術長Raimund Genes帶領趨勢科技資安團隊研究最新資安威脅和趨勢,難得對媒體露面。圖片來源:郭芝榕攝影。)
2、信用卡資訊很容易被偷
現在已經有很多App,只要靠近你的錢包,就能取得你的信用卡卡號,也有不肖人士拿來使用。
3、行動裝置風險加劇,個人資料被竊取的情形逐漸上升
行動裝置最常見的手法是,讓使用者看免費的影片,或是讓下載假的軟體,駭客在你不知道的情況下取得你的電話簿及E-mail等等,並做商業用途,十分危險;加上現代人常常用自己的裝置(BYOD)辦公,公私不分的情況下,使用者若是在手機上使用商業機密資料,就很容易被竊取。
趨勢科技資安團隊發現,行動惡意威脅App數量急速竄升,在2015年第一季正式突破500萬,而惡意廣告是行動裝置排名資安威脅第一名,統計今年3月份,Google Play曾有超過2千個App可能含有惡意廣告程式。2015年第一季全球總計有800萬用戶曾造訪惡意網站,台灣是最常造訪惡意網站的第四大國家。
至於PC上的威脅,比較是針對式攻擊,過去幾年,駭客攻擊從攻擊所有PC,轉為鎖定特定目標攻擊,或是占據使用者的電腦當跳板,再尋找下一個目標。
4、忘記所有IT安全的防護概念,對所有裝置零信任
過去資安策略常見縱深防護策略,Raimund Genes說,「現在不再管用了,請忘掉所有你對IT安全的概念!」意思是,過去可以很清楚區分企業內網和外網,而現在行動裝置或穿戴式裝置並沒有外網和內網的區別,所以永遠可能會被入侵,無法做到百分之百的防護,只能盡快盡可能地防禦而已。
最重要的是,企業必須重新思考「你重要的資產是什麼?」,對所有的裝置都保持「零信任」,做好風險評估和管理。 Raimund Genes舉例,Sony影業被駭事件做了非常不好的示範,對Sony影業來說,最重要的是資產是電影,他面對的是APT攻擊,但是傳統防毒軟體比對模式找出病毒的方式其實無法應付APT攻擊,Sony犯下的錯誤就是做了縱深防護之後,卻相信內網是安全的,所以在電影大量流出去的時候他們沒有發現。
