根據韓國國家情報院(National Intelligence Service, NIS)指出, 朝鮮代號為撒拉路(Lazarus Group)之駭客組織攻擊韓國比特幣交易所Bithumb, 導致價值76億韓元(約697.7萬美元)的比特幣遭竊, 以及3.6萬帳號之個人資訊外泄。
其中, 駭客還勒索60億韓圜(約550.8萬美元)來換取刪除外泄的個人資訊, 損失價值達1,248.5萬美元。
英國倫敦比特幣交易所亦受撒拉路攻擊, 其作法為駭客會給使用者發送一份假檔案, 包含其從職業社交網站Linkedin上下載的某歐洲比特幣公司首席財務官資料, 當使用者打開檔並閱讀內容時, 裡面攜帶木馬病毒便會開始攻擊使用者電腦, 包括竊取個人資訊和比特幣,
截至2017年12月19日下午1點, 比特幣價格為18,869美元(個), 由於比特幣不受政府監管, 因此具不易追蹤特點。
另一方面, 韓國老牌交易所Youbit官方網站於2017年12月19日宣告破產, 其于韓國時間下午2點停止加密貨幣與現金充值服務, 破產原因為駭客攻擊導致17%資產損失, 所有客戶的虛擬貨幣資産價值將被減計至75%。
2017年金融業資訊安全問題再度引發各界關注
2017年金融業遭駭客入侵案件成長最多, 年成長達18%, 進一步分析發現, 金融業入侵案件自2016下半年有急速增加趨勢, 主要原因為透過駭進金流系統或儲存大量個資系統, 獲利最快, 換言之, 多為目標鎖定式攻擊。
目前數位勒索活動和勒索手法,
實務上作法, 駭客會有耐心進行長期策畫, 透過商業流程入侵, 從網路犯罪集團駭入企業系統, 接者歹徒會新增、修改或刪除一些資料或攔截並竄改交易資料, 經由企業執行遭到竄改或未經授權的交易, 最後網路犯罪集團收到商品、款項等, 加上歐盟即將要實施一般資料保護規定(General Data Protection Regulation, 當違反GDPR組織將被處以年度全球營業額4%或2,000萬歐元罰款(兩者以較高數額為准)), 駭客可反利用外泄個資來勒索企業。
物聯網設備為未來資安防護重點
物聯網(IoT)裝置所衍生的資安問題逐漸受到正視, 因為有些裝置可能會接觸到更多個人隱私, 甚至影響人身安全與國家安全, 即IoT為駭客熱門目標, 隨著物聯網設備快速增加, 至2020年預估有204億個物聯網設備連上網路。
目前物聯網設備及工控系統組成之僵屍電腦網路已出現, 由於物聯網設備包括路由器(Router)、數位監視器(Digital Video Recorder, DVR)、Web Camera、Wi-Fi Disk、機上盒(STB)等, 當中皆可能存在許多需要被解決的安全性漏洞與資安風險, 其中分為裝置端、通訊(端)網路及控制端。
裝置端包括未使用密碼技術造成資訊外泄、設備存在安全性漏洞, 通訊(端)網路包括使用不謹慎的資料保護機制, 控制端則包括越權存取、惡意程式攻擊、分散式阻斷服務攻擊(Distributed Denial-of-Service Attack, DDoS)。
由於大部分物聯網裝置具備感測器,
企業機構方面, 提供更佳資安能見度與多層式資安防禦, 包括內網行為控制、行為分析偵測、高准度的機器學習與完整的端點服務;
一般使用者方面, 提供良好的資安習慣與持續防護, 包括變更預設密碼、正確設定裝置安全性、隨時套用修補及防範社交工程技巧。
文丨拓墣產業研究院 謝雨珊