想透過你來滲透入侵你上班的公司!
這兩年來由於有太多企業被駭客入侵勒索,使得政府單位和許多企業都開始很重視資安這個議題,也確實讓很多企業被迫而加強了資安防護,讓駭客越來越難直接對企業發動攻擊。
然而,大多數的資安防護措施都是按照所謂的SOP進行設置與稽核,並不會真正發動黑盒攻擊或請專業資安公司來做紅隊演練,因此實際上對實作能力極強的駭客們(尤其是有國家級的組織)的防護效果還是很有限!
舉例來說,現在的駭客會採用迂迴攻擊,不會只針對企業的所有連結入口正面入侵,所以台灣的半導體等產業都開始會要求上游廠商也要做好資安防護,因為很可能駭客就會先入侵這些比較沒有資安防護力的上游廠商後再滲透至目標企業。
就我自己的了解,台灣大多數的企業文化都是把資訊相關問題一律歸納給「資訊部門」,然後「資訊部門」的主管再要求底下的資訊人員要「負責」處理,最底層的資訊人員反而變成要肩負整家企業所有資訊相關事務的核心人物。
不管是以前的EIP、ERP、雲端到現在的資安議題都是這樣,所以台灣的資訊人員會越來越少,因為薪水不高又要肩負這麼多責任和任務,就好像便利超商的店員一樣,勞心又勞力,乾脆就轉行去賣小吃。
也因此造成企業中大多數的員工會認為所有資訊相關的事和自己無關,除非是被迫要求配合才會願意去學習(例如ERP系統),對於資安也是類似心態,覺得自己不需要注意,因為自己沒有什麼重要機密,很有可能就會因此而成為企業的資安破口!
大多數企業無法像台積電一樣嚴格要求員工不能帶自有設備(例如智慧手機、筆電),所以很有可能因為你在咖啡廳或是遠距工作時被植入惡意程式,連回公司網路工作時,惡意程式就自動擴散了…
駭客想透過你來詐騙你的親朋好友!
這種情況還蠻常見的,例如Line、FB或IG帳號被盜用,然後週遭的親朋好友們就會收到奇怪的訊息或是連結,甚至會要求臨時幫忙買個遊戲點數、匯款借錢等等。
其中比較特別的做法是透過你來擴散「釣魚連結」,也就是駭客真正的目標不是你,很可能是你朋友的朋友,就像前面提到的迂迴攻擊一樣,上游廠商不是駭客的真正目標,而只是傳播惡意程式的媒介。
例如你是剛出社會或是還在就學的年輕人,你的經濟能力比較有限,但你的父母可能很有錢,所以駭客透過你的帳號來傳送釣魚連結(連結至釣魚網站,然後釣魚網站可能就很像網路銀行的登入畫面),誘騙你的父母輸入重要帳號密碼後,駭客就能透過網路銀行轉帳、竊取金錢。
駭客想利用你的重要資料來勒索你!
目前這種案例也越來越多,尤其是很多youtuber、IG等網紅、頻道主,影片、照片往往是他們的重要資料,由於資料量大、而且需要進行後製,所以幾乎都會準備NAS等具有大量儲存空間的資訊設備。
因此現在有駭客是專門針對NAS這些儲存設備進行入侵攻擊的,一旦入侵成功幾乎都會利用加密勒索軟體來向受害者要求贖金,而且贖金會要求用加密貨幣支付,因為可以有效避免被追查。
例如在2021年4月的Qlocker攻擊事件就是針對Q牌的NAS設備漏洞進行入侵勒索,而且據說駭客在五天就拿到26萬美金的贖金(因為有很多人受到攻擊),可見大多數人是都沒有資安防護意識的!
想在現實社會中對你或你的家人有所企圖!
這種案例比較常看到的是政府在抓補通緝要犯,當這些人在FB等社群媒體分享照片或打卡時,很可能就會被找出定位、進而被補,例如McAfee創辦人的John McAfee就是因為他的豬隊友在照片中含有GPS位置訊息,而在瓜地馬拉被補。
很多人看到這裡仍會覺得自己不是在知名企業工作、也不是網紅名人,應該不會被駭客盯上,所以不必擔心吧?
其實不是所有駭客都只針對企業,有些人不是專職駭客,但懂駭客的專業技術,也許只是因為在社群中和你有爭執,然後對方可能就會利用這些專業技術來得知你的居住場所或是家人所在位置,進而對你不利…
例如現在有很多激動派的鄉民雖然不懂駭客工具,但會利用人肉搜索或是現成的資料分析平台來進行搜尋(例如PTT Brain),用在正面的方向就是網路正義;用在負面的方向就會變成網路暴力!
所以,人人都應該要有資安意識,保護自己也避免家人受傷害!