誰會想要攻擊智慧家庭?原因為何?這麼做對駭客有何好處?由於物聯網(IoT ,Internet of Thing)裝置有別於 PC 和智慧型手機,並非全都採用相同的作業系統 (至少目前市場現況是如此)。然而這一點小小的差異,就會讓駭客更難以發動大規模的攻擊。除此之外,想要破解 IoT 裝置的安全機制也需要相當的知識和適當的工具。
近年來,資安研究人員早已證明智慧型裝置確實可能遭到駭客入侵。當初研究人員駭入這些裝置的用意,只是希望引起廠商們注意產品的安全性。
但就在去年,趨勢科技研究人員以實驗證明駭客確實能夠從遠端擷取智慧型車輛的資料,甚至篡改自動化油表的油量。為了降低傷害的風險,這些實驗都是在控制的條件下進行,但歹徒可就不會這麼體貼。
現在我們已知道 IoT 裝置有可能遭駭,那麼,歹徒駭入這些功能單純的家用智慧型裝置要做什麼?以下列舉了一些可能攻擊物聯網的非典型嫌犯,以及他們的動機和他們攻擊智慧家庭的機率有多大。
網路犯罪集團
對網路犯罪集團來說,其攻擊的動機永遠都是為了錢。隨著越來越多 IoT 裝置進入家庭當中,網路犯罪集團盯上這些裝置以及這些裝置所連接的智慧家庭網路是遲早的事。網路犯罪集團一旦駭入智慧家庭網路,他們就可能發動勒索病毒攻擊或者將裝置鎖住來勒索贖金。此外,他們也可能竊取敏感的使用者資料,然後用來勒索被害人,或者拿到地下市集販賣。
不肖分子
不肖分子很少有正當的攻擊動機,他們總是大費周章地試圖得到他們想要的。對這些人來說,他們有可能利用家庭 IoT 裝置來跟蹤、尾隨、傷害受害人,甚至惡意破壞競爭對手的生意來取得優勢。
駭客激進分子
不論是為了宣揚政治理念、表達不滿,或者動員人群以達到某種目的,駭客激進分子向來偏愛能夠讓他們製造最大宣傳效果的管道。隨著越來越多人開始擁抱智慧家庭,駭客激進分子很可能會考慮利用這些裝置來擴大他們的地盤。
政府機關
當牽涉到國家安全和個人隱私權時,政府對人民的監控一向是個引起爭議的話題。媒體一再爆料,政府機構經常為了國家和人民安全的理由而監聽私人通訊以追查可疑嫌犯。因此,一些具備聲音和視訊傳輸功能的智慧家庭裝置就可能成為政府機關用於監控國家安的工具。
恐怖分子
儘管恐怖分子的主要目標是散播恐懼,但他們不太可能會利用智慧家庭裝置來達到這項目的。但隨著各式各樣的企業都在營業系統和重大基礎架構當中導入物聯網技術,恐怖分子應該會盯上這些更有效果的攻擊目標。
企業機構
嚴格來說,企業機構不算是駭客,但每當有廠商推出全新的熱門 IoT 裝置時,就會引起社會大眾某種程度的不安。這通常都和隱私權有關。因此,正在考慮購買的客戶,就會想要知道這些智慧型裝置用起來到底安不安全。凡是會經手客戶資訊的任何企業,都必須坦白說明他們會蒐集何種資料、如何蒐集、儲存在哪裡、用途為何,以及還有誰會存取這些資料。若未正確告知客戶這些相關細節,就是廠商的不對。
智慧家庭的消費者,若能知道哪些人可能攻擊智慧家庭,就能對可能出現的攻擊類型預先加以防範。至於使用者和 IoT 廠商可採取什麼樣的實際步驟來保護自己,我們將在本系列文章的最後一篇提出一些建議。
本文授權轉載自:趨勢科技資安研究團隊。
作者馬丁・羅斯勒為趨勢科技前瞻威脅研究小組資深總監。2001年加入趨勢科技,研究科技和最新的網路威脅,直接回報給趨勢科技技術長。過去6年帶領趨勢科技前瞻威脅研究小組,負責電子犯罪調查服務,並與全球執法單位合作,已為歐洲、中東、非洲、日本、北美聯手逮捕許多網路犯罪活動。