微軟發布的2018亞太資安研究報告指出
- 台灣在2017年因資安攻擊事件造成的經濟成本損失,高達270億美元。
- 台灣在2017年的GDP總值為5715億美元,資安攻擊的損失相當於台灣GDP總值的5%。
- 六成四的台灣企業員工會點開釣魚信件的連結,意即每10人即有6.4人會點開惡意連結。
- 有97%的攻擊來源不重複,因此難以用防毒方式常用的「黑、白名單」阻擋。
參考來源:微軟新聞中心 https://news.microsoft.com/zh-tw/frost-sullivan/
微軟最新《智慧資安報告》解密亞太地區網路犯罪四大威脅
- 惡意軟體:造成電腦功能受損、數據遺失、智慧財產遭竊、財務損失,甚至情緒上的影響。
- 加密貨幣挖礦:利用惡意軟體入侵受害者電腦以取得加密貨幣,進而獲得非法利益。
- 勒索軟體:雖然個人及公司行號越來越懂得用智慧的方式應變,勒索軟體仍然是重大資安威脅之一。
- 偷渡式下載:利用網頁漏洞引導用戶前往被駭網頁,即使用戶沒有下載任何東西,攻擊者已能暗中感染電腦。
參考來源:微軟新聞中心 https://news.microsoft.com/zh-tw/security/
駭客攻擊的常見手法
- 木馬後門:
駭客用來盜取其他用戶的個人資訊,並可遠端控制對方電腦、手機等設備的惡意軟體。 - 勒索病毒:
利用惡意軟體加密受害者硬碟上的檔案,然後要求受害者繳納贖金以取回解密金鑰以便解密檔案。 - MITM攻擊:
中間人攻擊(Man-In-The-Middle),攻擊者透過ARP來攔截、側錄雙方的網路通訊內容。 - 社交攻擊:
攻擊者偽裝成公司內部技術人員或者問卷調查人員,騙取受害者的密碼等重要資訊,甚至詐騙金錢。 - DoS攻擊:
阻斷服務攻擊(Denial-Of-Service),將目標電腦的網路或系統資源耗盡,使服務暫時中斷或停止。 - DDoS攻擊:
分散式阻斷服務攻擊(Distributed Denial-Of-Service),是DoS攻擊的進階版,讓受害者更難防護。 - 釣魚攻擊:
透過Email或者即時通訊進行導引用戶到URL與介面外觀與真正網站相仿的假冒網站輸入機密資料。 - 暴力攻擊:
一般是指密碼破解攻擊,將密碼進行逐個推算直到找出真正的密碼為止,經常結合密碼字典進行攻擊。 - SQL注入攻擊:
在網頁的輸入字串之中夾帶SQL指令,來達到破壞或是入侵資料庫的目的。 - XSS攻擊:
利用跨站腳本(Cross Site Scripting)的漏洞讓攻擊者可以將惡意腳本注入使用者的瀏覽器。 - 命令注入攻擊:
攻擊者會利用有漏洞的網頁應用程式來插入惡意shell命令到網站主機作業系統並加以執行。
多數人會認為資安和自己無關
- 自己不是名人,應該不會被駭
- 沒有亂裝軟體,應該沒有問題
- 沒有重要資料,不見也沒關係
- 沒有機密資料,被駭也沒關係
多數企業會認為資安不會有問題
- 公司有防火牆,應該不會被駭
- 電腦都有防毒,應該沒有問題
- 資料都有備份,應該不必擔心
- 資安問題只需由IT人員負責
有用3C設備就要注意資安,資安問題不是只有駭客攻擊
- 硬體損毀
- 硬體遺失
- 軟體損毀
- 人為操作
