網路犯罪:企業需要了解的威脅
對於各行各業、不同規模的企業而言,網路犯罪已經成為一個日益嚴峻的挑戰。隨著網際網路與科技深入我們生活的每一個層面,犯罪分子利用此點進行非法活動也就不難理解了。
為了有效保護自身,企業必須充分了解各種網路犯罪的類型,以及這些犯罪可能對組織、員工和客戶造成的潛在損害,並採取相應的防範措施。
什麼是網路犯罪?
網路犯罪是指任何以電腦網路(包括網際網路)為主要犯罪手段的攻擊行為。網路罪犯會使用駭客工具和其他技術手段來竊取資料與金錢、欺騙個人和企業,並破壞各種服務。當電腦或電腦網路被用於非法目的時,就發生了網路犯罪。由於網路犯罪通常是遠端實施,因此難以追蹤和偵查。
網路犯罪的損害與代價
《網路犯罪》雜誌預測,到2025年,網路犯罪造成的全球經濟損失預計將從2015年的3兆美元攀升至每年10.5兆美元,成為世界上損失最慘重的犯罪類型之一。
根據美國聯邦調查局(FBI)2021年發布的網路詐騙報告,勒索、身份盜用、資料外洩、不付款與不交貨,以及網路釣魚(包含網路釣魚、簡訊釣魚和網域欺騙)等犯罪行為,就佔總損失金額的一半以上。
其中,商業電子郵件洩露(BEC),也被稱為電子郵件帳戶洩露(EAC)詐騙,就佔了23億美元,而總損失為69億美元。在這些詐騙案中,攻擊者會偽裝成公司高層或員工,誘騙他人將資金或敏感資訊(例如商業機密、財務報表和其他專有資訊)轉移出企業。
除了經濟損失外,企業在遭受網路攻擊後,還將面臨聲譽風險,因為大眾可能對企業及其產品或服務失去信任。此外,員工和客戶的敏感個人資訊也可能外洩,若發現企業有疏失,企業也將因此承擔責任。
常見的網路犯罪類型
隨著數位環境不斷演進,各種網路威脅層出不窮,若未妥善處理,可能會對企業造成嚴重後果。從惡意軟體和勒索軟體攻擊,到網路釣魚和身份盜竊,了解不同類型的網路犯罪是保護企業及其資料免受網路罪犯侵害的第一步。
網路釣魚
網路釣魚是駭客和網路罪犯竊取資訊最常見的手法之一。網路釣魚詐騙通常是透過偽裝成合法的企業或組織,以騙取受害者的敏感資料,例如密碼和信用卡號碼。
網路釣魚郵件通常會設計成看起來像是來自合法來源,例如金融機構、國稅局(IRS)或政府機關,以誘使民眾提供個人資訊。
這些詐騙通常會透過電子郵件或電話通知收件人,要求他們必須立即更新帳戶資訊,否則將面臨帳戶鎖定的風險。這種詐騙手法在近年來急劇增加,因為它實施容易,而且難以追溯肇事者。資訊安全公司Wandera報告指出,每20秒就會建立一個新的網路釣魚網站。
這表示,每分鐘會出現三個新的網路釣魚網站,使企業面臨潛在的威脅。為了避免成為受害者,最好的辦法是教育員工了解網路釣魚郵件的警訊,並制定相關政策,告知員工若懷疑郵件為假,該如何處置。
駭客
駭客行為是指未經授權存取電腦系統,以感染受害者的電腦或繞過安全措施。駭客(利用專業知識來利用電腦系統漏洞的人)可能會給企業帶來各種問題,包括入侵電腦系統、存取機密資料等。
他們甚至可能透過公開企業的私密資訊,以及威脅公司公開更多資訊等方式,來損害企業聲譽,這類駭客通常被稱為駭客行動主義者。駭客可分為三種類型:白帽駭客(道德駭客)、黑帽駭客和灰帽駭客。
- 白帽駭客會利用其技能在惡意使用者之前發現軟體中的錯誤,並回報錯誤以便修復。
- 黑帽駭客則會建立旨在入侵他人電腦、竊取資訊並在暗網上販售的程式。
- 灰帽駭客使用的技術介於這兩者之間,他們會試圖識別系統中的漏洞,但他們的方法可能違反法律或道德標準。
加密劫持
加密劫持是一種網路犯罪,駭客會非法利用他人的電腦和網路來挖掘加密貨幣。根據SonicWall的數據,2022年上半年全球加密貨幣劫持量增至6670萬次,較2021年上半年增長了30%。其中,金融業受到的衝擊最大,增長幅度高達269%。
加密劫持的主要問題之一是,會導致CPU使用率過高,進而導致系統明顯變慢,甚至完全崩潰。有時候,這種情況發生時,公司甚至尚未意識到自己受到攻擊。為了保護自己免受這類犯罪的侵害,企業可以請資訊安全專業人員定期監控系統的CPU使用率,以查找異常峰值。
欺騙
這種網路犯罪是指有人在網路上偽造身份,以欺騙或詐騙他人。這些犯罪行為可能包含電子郵件欺騙、電話欺騙、虛假的社群媒體檔案和虛假的廣告。舉例來說,當有人發送一封看起來像是來自公司同事的電子郵件,並代表公司執行長請求提供敏感資訊時,就屬於一種欺騙行為。
詐騙者也可能會建立看似與您的企業相關的網頁,但其目的是為了收集個人資訊。為了避免這些詐騙,最好的方法是在點擊連結或發送任何資料之前,先檢查連結。同時,您也應警惕要求您提供密碼、財務帳戶號碼或其他敏感資訊的不請自來電子郵件。
勒索軟體
勒索軟體是一種惡意軟體,會攻擊電腦系統、鎖定資料,並要求支付贖金才能解鎖資料。一旦電腦感染勒索軟體,通常會提示使用者支付贖金,以換取解密金鑰,以解鎖電腦並重新取得對資料的控制權。
勒索軟體攻擊的平均成本超過400萬美元,而破壞性攻擊的平均成本則超過500萬美元。通常,只要遵循基本安全措施,例如保持作業系統更新,或避免點擊來自不明寄件者的可疑連結或附件,就能預防勒索軟體感染。
跨站腳本
跨站腳本(XSS)是一種網路安全漏洞,當攻擊者將惡意腳本注入受信任的網站或網路應用程式時,就會發生這種漏洞。XSS 可以讓攻擊者取得對使用者會話的控制權、竊取他們的登入憑證,並獲取有價值的資料。
例如,攻擊者可能會在受感染的網站上放置惡意程式碼,該程式碼會等待毫無戒心的使用者登入,然後再執行從受害者電腦洩露資訊的指令。這些漏洞有時會允許攻擊者劫持會話,並完全冒充受害者的身份。
XSS 分為三種類型:儲存型XSS、反射型XSS和基於DOM的XSS(文件物件模型)。
- 儲存型XSS(持久性)攻擊利用的是輸入驗證不足和身份驗證機制不佳的漏洞。攻擊者會利用這類漏洞來上傳惡意軟體,或竊取包含密碼和信用卡號碼等敏感個人資訊的Cookie。
- 反射型XSS(非持久性)攻擊是由受害者點擊攻擊網站內的連結所觸發,該連結會在受害者的瀏覽器上執行包含惡意程式碼的腳本。受害者的瀏覽器會將腳本送回攻擊伺服器。
- 基於DOM的XSS攻擊則是利用DOM中的漏洞,或瀏覽器解析HTML文件的方式。這種攻擊旨在透過操控JavaScript物件(例如XMLHttpRequest或WebSocket執行個體)強制瀏覽器進行變更,進而產生漏洞。
為了防止所有三種跨站腳本攻擊,企業需要採用安全的編碼實務,例如使用程式碼檢查工具,並確保對輸入值進行正確驗證。
身份盜用
當一個人使用他人的個人資訊(例如姓名和社會安全號碼、銀行帳戶號碼和信用卡資訊)進行詐欺或其他犯罪時,就會發生身份盜竊。不肖人士會損害受害人的良好聲譽、破壞其信用記錄,而受害者可能需要花費數年才能從身份盜用的陰影中恢復。
身份竊賊會透過各種方法收集個人資訊,包括入侵電腦、竊取郵件、使用攝影機捕捉電腦螢幕上的資料,以及偽造毫無戒心的受害者身份證副本。然後,他們會使用這些資訊來冒充受害者,並透過存取網路銀行帳戶、開設新的信用額度、以受害者的名義申請貸款等方式,來控制他們的財務。
為了避免身份盜用,最好的方法是妥善保管所有包含敏感資訊的文件:在丟棄帶有機密資訊的文件前將其銷毀,並在徹底驗證舊帳單不包含任何敏感資料前,不要將其丟棄。
應付帳款詐騙
在應付帳款詐騙中,詐騙者會冒充公司供應商,並要求為未曾提供的商品或服務付款。這些詐騙通常之所以能得逞,是因為詐欺發票會被寄送到不認識供應商本人的會計部門。
企業在擴大業務規模,並從小公司轉型為中型或大型企業時,往往最容易遭受應付帳款詐騙。詐騙者可能會偽裝成代表公司申請資金的員工,或者他們甚至可以偽造看似合法的詐欺發票。
當涉及網路犯罪時,企業需要仰賴組織內的多人進行制衡,例如要求超過特定金額的所有付款都必須經過多重簽核。
惡意軟體
惡意軟體是指旨在破壞電腦運作、從電腦系統收集敏感資訊,或取得遠端電腦控制權的程式或軟體。惡意軟體通常難以被發現和移除,而且可能會透過感染檔案、變更資料和破壞系統工具,對電腦系統造成重大損害。
同樣重要的是,要注意惡意軟體可能會將自己偽裝成合法軟體,讓使用者更容易將其安裝到電腦上。例如,病毒、蠕蟲、木馬、間諜軟體和廣告軟體。
社會工程學
社會工程學是一種操縱人們交出機密資訊或存取憑證的藝術。社會工程是透過偽裝成同事、打電話、發送電子郵件,以及使用即時訊息服務等方式,來取得受害者的信任。
然後,作案者會要求提供密碼和個人識別碼(PIN)等資訊。數據顯示,有98%的網路犯罪都涉及某種形式的社會工程學。
受害者不僅會被誘騙交出自己的資訊,還可能透過社會工程技術,在不知不覺中洩露公司的商業機密和智慧財產權。與全體員工一起制定事件應變計畫,將有助於預防此類犯罪。
技術支援詐騙
在這些詐騙中,騙子會冒充知名公司的代表,打電話給潛在受害者,聲稱他們的電腦上發現了幾個問題。這些問題從惡意軟體到病毒不等,且受害者必須付費才能修復。詐騙者會向受害者顯示一個類似合法錯誤和程式的精靈。
然後,他們會誘騙受害者遠端存取他們的系統,讓騙子可以向他們收取更多費用,甚至竊取個人資訊。美國聯邦調查局報告指出,一對來自緬因州的夫婦在收到彈出式警報,提示他們的電腦已被入侵,有人試圖洩露他們的銀行資訊後,損失了110萬美元。
詐騙者鎖定處於高壓力情況下的弱勢族群,這些人願意付出任何代價來保護自己。受害者可能直到為時已晚才意識到自己被騙了,因為詐騙者會向他們提供軟體更新,讓他們相信自己受到保護。詐騙者說服這對夫婦將錢從他們的退休帳戶轉移到Coinbase進行妥善保管,然後就切斷與他們的所有聯繫。
物聯網駭客
物聯網駭客攻擊是最普遍的網路犯罪形式之一,可能會導致人身傷害。當駭客使用連接到網際網路的裝置(例如智慧恆溫器或冰箱)時,就會發生這種駭客攻擊。他們會入侵裝置並用惡意軟體感染它,進而將惡意軟體散播到整個網路。
然後,駭客會使用這個受感染的系統來對網路上的其他系統發動攻擊。這些攻擊通常會導致這些裝置的資料被竊取,並讓駭客能夠存取您的敏感資訊。物聯網駭客攻擊之所以存在風險,是因為這些裝置的安全性有限,而且處理能力、記憶體和儲存容量通常也有限。這意味著它們比其他系統更容易存在漏洞。
軟體盜版
軟體盜版是指在沒有所有權或法律許可的情況下,非法複製、散布或使用軟體的行為。它可透過從非法軟體網站下載程式、將程式從一台電腦複製到另一台電腦,或販售軟體副本等方式實現。
盜版軟體會阻礙公司從其產品中獲利,進而影響公司利潤。軟體聯盟的一項研究指出,安裝在個人電腦上的軟體中有37%是未經授權或盜版的。由於這是一個如此普遍的全球性問題,企業必須全面了解自己可能受到的影響,以及有哪些解決方案可以保護自己。
木馬程式
木馬程式是一種偽裝成合法程式的病毒,它會在未經您許可的情況下,自行安裝在您的電腦上。執行時,它可以執行刪除檔案、安裝其他惡意軟體,以及竊取信用卡號碼等資訊等動作。
為了避免木馬程式,關鍵在於只從信譽良好的網站(例如公司網站或授權合作夥伴)下載程式。
竊聽
竊聽是指在各方不知情和/或不同意的情況下,偷聽或記錄對話。這可以透過電話、使用隱藏式攝影機,甚至是透過遠端存取來進行。
竊聽是違法的,可能會使您面臨詐騙和身份盜用的風險。您可以透過限制員工透過電子郵件和親自分享的內容,來保護您的公司。同時,加密對話也有助於使用可防止未經授權使用者遠端存取網路資源的軟體。
分散式阻斷服務
分散式阻斷服務(DDoS)會攻擊服務或系統,它會向目標發送超出其處理能力的請求。這種攻擊會以組織的網站為目標,並試圖透過同時發送大量請求來淹沒它。大量的請求會迫使伺服器關閉,進而中斷嘗試存取資訊的使用者之資訊可用性。
駭客使用DDoS作為一種抗議網站及其管理的手段,儘管這些攻擊在某些情況下也會被用於勒索。DDoS攻擊也可能來自旨在竊取組織資料,而非破壞資料的網路間諜活動。
APT
進階持續性威脅(APT)是一種具有高度針對性、持續性、複雜性和資源充足的網路攻擊。APT 通常用於從組織竊取資訊,以獲取經濟利益。
APT網路攻擊可能會持續數月或數年。他們會滲透網路、提取資料,然後在不被發現的情況下滲出。典型的目標包括政府機關、大學、製造公司、高科技產業和國防承包商。
黑帽搜尋引擎優化
黑帽搜尋引擎優化(Black Hat SEO)是一種垃圾訊息手法,行銷人員會使用不道德的技術,在搜尋引擎結果中獲得更高的排名。黑帽策略可能包含關鍵字堆砌、隱形文字和隱藏真實內容等,這會誘使搜尋引擎的演算法認為該頁面相關,但實際上卻不相關。
這些行銷策略之所以不合法,是因為它們濫用排名系統,違反了Google搜尋要點(以前稱為網站管理員指南)。因此,黑帽SEO可能會受到處罰,或將網站從搜尋引擎結果頁面(SERP)中完全移除。
防範網路犯罪
制定全面的網路安全政策至關重要。此政策應包含員工指南,說明員工在存取公司系統時應如何表現,以及不遵守這些指南的後果。應向所有員工清楚解釋此政策,並定期更新,以確保它與最新的安全威脅保持同步。
以下是其他一些值得考慮的防範網路犯罪步驟:
- 與掌握最新技術和流程的專業服務供應商合作。
- 在異地位置備份所有資料。
- 定期使用最新的修補程式和更新來更新系統。
- 對您的軟體授權進行年度稽核。
- 使用信譽良好的防毒程式掃描惡意程式,例如病毒、間諜軟體、蠕蟲、木馬和Rootkit。
- 安裝網路過濾軟體,阻擋任何非法或不適當的內容進入網路。
- 加密所有儲存敏感資料的裝置,以防止未經授權的存取。
- 開發一個自動監控系統日誌的流程,這樣您就可以知道是否存在企圖破壞的行為。
- 定期要求專業人員進行系統稽核,以確保您的系統不易受到攻擊。
- 實施資料外洩防護技術,透過控制使用者可以複製、貼上和儲存到外部裝置的內容,在資訊離開網路之前保護資訊。
最後的話
組織可以透過實施強大的網路安全和資料保護政策、定期進行網路威脅評估、更新軟體、使用防毒軟體、加強員工教育和意識,以及使用可以自動化網路安全流程的工具,來保護自己免受網路犯罪的侵害。
公司也可以與提供安全雲端運算環境和託管安全服務的服務供應商合作,以協助抵禦網路攻擊。