【樂聯網】資安專家研究團隊針對消費者在2020年所將面臨的網路安全與隱私風險,提醒消費者提高警覺。NortonLifeLock大中華區首席工程師王世煜表示:「5G應用帶動物聯網的發展態勢,網路使用者暴露在詐騙與個資洩漏的風險中,甚至可能直接危害人身安全,因此公私領域皆需要加強網路與隱私的保護。」
NortonLifeLock預計,在2020這一年中,網路罪犯將為實體犯罪者提供越來越多的協助,讓有心者能更輕易地在實體世界進行犯罪。這意味著將有被盜的智能鎖密碼組合在地下論壇中販售,購買者可透過密碼控制「智能家居」中常見的數位裝置,如智能鎖或智能攝影機,來鎖上大門,強迫受害者支付比特幣以換取對房屋的控制權,並藉由遠程可以達到編輯某人的連網攝影機記錄、刪除洗劫受害者房屋時被拍攝到的所有片段,來消滅自己的犯罪證據。
並指出,也有詐騙集團透過遊戲或APP,引導手機用戶登入不明ID,再遠端綁架手機要求用戶支付解鎖費。這些威脅將從網路延伸至實體動態,甚至達到潛在地威脅實際人身安全的程度。
NortonLifeLock表示,希望全世界都能了解「Creepware」偷窺軟體所帶來的威脅。這些應用程式的目的在於騷擾受害者,使攻擊者可以進行各種霸凌、使受害者難堪或以其他方式破壞受害者的生活。Norton LifeLock與其他網絡安全研究人員一直在追踪偷窺軟體,下載網站平台的運營商也非常努力將偷窺軟體拒之門外,然而偷窺軟體的開發人員持續針對掩蓋其應用程式的目的進行不斷的更新,替換已被下載平台刪除的應用程式,讓偷窺軟體更難被發現。
在2019年期間,NortonLifeLock發現大量偷窺軟體應用程式被用來進行人與人之間的攻擊,攻擊者使用這類軟體的攻擊方式非常具有創造力。例如:某些偷窺軟體應用程式可一次發送數百條簡訊攻擊某個人,受害者的電話帳單若是按簡訊數量收費,可能會因此導致電話費暴增。另外,也有攻擊者使用偷窺應用程式發送假簡訊破壞某人與朋友家人之間的關係。到目前為止,雖然攻擊方法持續增加,但多數人還沒有意識到這一類的威脅。NortonLifeLock預計,隨著偷窺軟體在未來12個月內成為主流,會有更多人更清楚意識到這種攻擊。
台灣的大選已結束,今年美國進入了大選之年,NortonLifeLock預期,在技術工具的演進下,假消息將會更加廣泛地模糊真實和非真實之間的界限。人們相信眼見為憑,看見圖片便認為是真實的,但在數位世界裡眼見為憑無法自動成立,隨著DeepFake語音與影像變成主流,過去被視為科幻的東西將逐步進入現實,人們將無法完全憑藉著自己的能力判斷真假。
NortonLifeLock認為,民眾談論假消息時,通常會提到刊登假新聞的網站,但實際上那並不是假新聞的源頭。假新聞的源頭是發起人利用可被兩極分化的報導,從上下文中各拿出一些資訊拼湊,並透過人頭帳戶宣傳。例如使用一張很久以前拍攝的照片,在社群媒體上引爆話題,假裝是為了說明政治觀點而拍攝的來吸引人們的注意力。
許多國家和地區認為假消息是塑造其海外形象的有效工具。這些訊息通常會透過社群媒體、策畫、干預、塑造媒體趨勢、撰寫社論等一切方式支持政府,並以最積極的態度進行宣傳。甚至許多開發中國家也都會利用假消息,作為控制其境內異議的一種方式。
不幸的是,目前尚未有一種統一的方法來識別和打擊假消息。但可以肯定在2020年,假消息將繼續存在並蓬勃發展。
為了迎接5G時代,必須刺激超快速網路與相關裝置的增長,好以更快的速度提供無縫的用戶體驗,而這為物聯網供應商帶來了新的挑戰。在確保裝置安全方面,物聯網供應商將面臨極大的壓力。由於裝置製造商傾向盡快推出裝置,提供消費者想要的功能,因此會採取一些安全方面的捷徑以免延誤生產進度,結果導致消費者很少能了解他們買回來的裝置的安全風險,甚至玩具也不能倖免。尤其那些帶有GPS的裝置,可能會在無意間對外透露兒童位置,讓兒童產生發生危險的風險。又像是智慧攝影機與智慧家電的線上串流,原本是用於保護居家安全,卻讓用戶看到陌生的影像,或是使致個人影像外流。
即使現在製造業有意要弄清楚如何更好地保護裝置,5G帶來的挑戰也比他們以往所面臨的更為艱鉅。從2020年起,成千上萬的裝置將連接到5G商業網絡和(越來越多的)智能家居,除非裝置製造商能確實執行設備安全措施,否則「物聯網大決戰」的前景仍然是非常現實的威脅。
在過去的幾年中,勒索軟體已成為市政當局、醫療機構和小型企業的麻煩源頭。惡意攻擊者針對基礎設施投資不足或資安處理草率的目標下手,輕易凍結他們的網路並扣押他們的資料加以勒索。在2020年,使用勒索軟件的攻擊者將追逐更艱鉅、利潤更高的目標,針對製造業和無法承受當機時間的關鍵基礎設施組織下手。
與這類專業勒索軟體攻擊者的對抗將越來越困難。他們有能力執行複雜的攻擊任務,安靜地在網絡內部蒐集情報達數月之久,並在攻擊之前了解攻擊地點的資產、備份狀況與端點位置,讓攻擊更加順利。他們的計劃成功與否將取決於受害者的安全保護狀況,儘管企業們已意識到了這種威脅,仍有許多公司因財務因素而調降了資安的優先性。
詐欺者將會更盡力地使用各種新舊技術,來詐騙那些未查覺自己正走向網路陷阱的受害者,竊取他們的數據與其他有價值的資料。「Juice Jacking」手機充電站攻擊就是一個日益嚴重的問題。受害者在不知情的情況下透過插入USB接口或使用被駭客裝有惡意軟件的USB電線為裝置充電,在被收取費用的同時,也冒著數據被竊取的風險。目前尚不清楚這將在2020年造成多大的問題,但洛杉磯地區檢察官辦公室已經在其社群媒體平台上發布了一份警告,建議遊客避免在機場和其他公共場所使用公共充電站。
詐欺者也將愈來愈常使用DeepFake音頻,打電話給受害者並假裝是他們的親人,說他們正在旅行但損失了所有錢需要匯款協助。
最後,Credential Stuffing(憑證填充攻擊,指使用被盜的帳戶憑證試圖登入網路服務)將成為一個主流問題,愈來愈多詐騙者轉向暗網取得被盜的帳號和密碼用於社群媒體平台或網站上,嘗試解鎖受害者的個人資料,他們能在幾秒鐘之內突擊數百個網站直到進入網站為止。除非那些帳號密碼被盜的人選擇使用2FA(雙向認證),否則他們將面臨極大的風險。
消費者總是因為他們的個資被保護不足而感到憤慨,但至今許多公司的資料收集政策依舊神秘得讓人難以理解,消費者經常對誰擁有他們的資料及如何使用它們一無所知,所以他們將不滿的情緒轉為對公司和機構認真保護用戶身份和隱私的要求也就不那麼令人驚訝。2020年1月1日生效的《加利福尼亞消費者隱私法案》即是在加強隱私權和保護消費者,同時另外一些州和美國聯邦也都在針對隱私法案深入進行討論。另一方面,台灣的資安法規精神也逐步成熟,例如2019年某知名保險公司就因為資安缺失跟違反個資法遭受巨額罰款。隨著越來越多的公司和個人尋求針對網絡威脅的保險,網絡保險的業務將會有所增長。
另一個潛在的問題是:隨著越來越多的專業臉部識別和監視技術被普遍地被使用在公共場所,我們幾乎所有時間都在訓練監視器的監視能力。在某些國家頻繁出現監視器侵犯私人生活的狀況,而人們自然地認為監視器是在跟踪他們的行蹤。但在發展成熟的國家中,隱私已被認為是政府應該要保護的一項基本權利,若不加以規範,不斷提高的人臉識別準確性將引發問題。隱私的保護幾乎已經成為一種特權,預期人們將持續推動政府加強對隱私權的保護。
