根據最新調查報告,2016年網絡犯罪再創新高,全球計發生4,149宗網絡入侵事件,竊取逾42億個數據,美國及英國佔五成以上。

網絡犯罪正在以驚人的速度竊取數據,根據「風險基礎安全」(Risk Based Security)最新調查報告,2016年網絡犯罪再創新高,全球計發生4,149宗網絡入侵事件,竊取逾42億個數據,比2013年多出約32億個。

根據該報告,去年發生在美國(1,971宗)和英國(204宗)的網絡攻擊案宗佔去年總量的五成以上,其後依序分別是加拿大(119宗)、巴西(75宗)、印度(71宗)、澳洲(59宗)和俄羅斯(49宗)。

去年網絡攻擊的最大受害者是企業,佔55%,其它受害者包括醫療機構和政府機構,其中規模最大者莫過於雅虎(Yahoo)被入侵事件,逾10億個數據被竊取,其它網絡攻擊個案竊取的數據量介於50萬到1,000萬之間。

「風險基礎安全」副總裁Inga Goddijn告訴NBC新聞記者,網絡犯罪已完全失控,而且這些數據可能只是「冰山一角」,還有更多不為人知的犯罪。

他表示,網絡犯罪案宗數雖然沒有顯著增加,但個案竊取的數據量激增,而且竊取大量敏感信息,如用戶名、密碼、信用卡號、社會安全號碼、出生日期,或敏感的醫療紀錄。

黑客技術越來越高超

非營利機構「在線信任聯盟」(Online Trust Alliance, OTA)日前發佈報告說,去年網絡犯罪出現重大變化,不論是大型或小型企業,都成為攻擊目標;最受人關注的是美國民主黨全國委員會電腦系統遭黑客入侵,以及奧運的世界級運動員醫療記錄遭竊。

OTA執行董事斯派茲勒(Craig Spiezle)告訴NBC新聞,網絡攻擊技術越來越高超,幾乎沒有組織或政府部門能夠倖免。黑客竊取的信息已不限消費者數據,還包括企業的營運數據,例如併購或收購信息,有些可能是有損公司聲譽的信息。

社會安全號碼遭竊

對美國人來說,去年黑客攻擊最可怕的是大量社會安全號碼(Social Security Number, SSN)遭竊。根據「身份竊取資源中心」(Identity Theft Resource Center)和CyberScout的分析,去年逾1,900萬個社會安全號碼被竊,而且約52%的網絡犯罪涉及盜竊SSN,高於2015年的44%。

CyberScout董事長兼創始人Adam Levin說,信用卡和借記卡號碼都可以更改,但SSN不能,歹徒持續竊取SSN,而且技術越來越成熟及創新。

報告說,多數黑客是以魚叉式網路釣魚(Spear Phishing)方式入侵企業電腦系統,竊取SSN。犯案手法通常是先掌握某個企業高管信任的員工,接著創建和該員工極為近似的電子郵件帳號,並寄電子郵件給高管,要求提供所有全職員工信息或者某些機密檔案。由於高管和這名員工經常有業務往來的電子郵件,如果沒有察覺異狀,很容易就上當。

「令人驚訝的是,去年魚叉式網路釣魚犯罪手法,成功竊取大量個人敏感信息。」身份竊取資源中心總裁兼首席執行官Eva Velasquez說,「企業應體認到不僅要保障客戶資訊,也要保護員工信息,企業內部應建立適當機制,全面對抗五花八門的網絡攻擊。」

消費者不重視個人信息保護

黑客一旦成功入侵,竊取的數據已不再僅限電子郵件帳號和密碼,也會盜竊個人身份信息,因為很多人將個人敏感信息檔案儲存在電子郵件或者雲端服務(Cloud-based Service)系統。

根據LexisNexis Special Services公司對1千名成年人進行的調查,超過35%受訪者將高度敏感信息儲存在電子郵件或雲端服務系統;其中42%受訪者儲存報稅檔案,40%儲存銀行對帳單,35%儲存醫療紀錄,21%甚且儲存個人使用的一系列密碼。

LexisNexis首席執行官Haywood Talcove表示,將這些敏感數據儲存在電郵或雲端是相當危險的動作,一旦遭竊,後果無法想像,已不是更改密碼就可解決的問題。

如何應對網絡攻擊

面對日益猖獗的網絡犯罪,企業或消費者如何自保?斯派茲勒告訴NBC新聞,「雖然沒有完美的安全措施,但是也不存在消極應對的藉口。」他說,「企業或個人必須建構周密的防範機制,保護敏感信息,以及降低遭遇網絡攻擊事件所造成的衝擊。」

斯派茲勒認為,就企業而言,需要提供獎勵機制,鼓勵員工設計安全保證準則(Security by Design),企業內部由下而上都要建立安全意識,並將之成為企業文化的一部份,加強培訓員工,使所有員工都能了解安全威脅的嚴重性,以及如何應對。

Goddijn則希望企業領導能加強IT團隊應對瞬息萬變網絡威脅的能力,並充份滿足他們所需要的財務支持。他說:「我們必須認知,現在已無法依賴一個方便的新工具或吸引人的新方法就可以解決網絡犯罪問題。」◇