明年黑客攻擊新趨勢 專家料「網絡犯罪即服務」冒起

近年「勒索軟件即服務」(RaaS)激活了網絡罪行,使傳統網絡環境的外部和內部,更容易成為黑客的攻擊目標。網絡安全方案供應商Fortinet發表報告,預測愈來愈多額外攻擊媒介將於2023年透過暗網(Dark Web)以服務形式出現,促使「網絡犯罪即服務」(CaaS)顯著擴張。以下整合該報告的4大重點,包括:

  1. CaaS成黑客生財工具:除勒索軟件和其他惡意軟件即服務在暗網可供銷售外, CaaS也成為一種對黑客別具吸引力的商機。因為他們可輕鬆利用一站式產品配合不同的技術水平,即可發動攻擊,而毋須事先投入時間和資源來制訂自己獨有的攻擊計劃,誘使黑客建立及出售攻擊組合即服務作為簡單、快速且可重複的「財路」。
  2. 「偵察即服務」令威脅效能更強:隨著攻擊變得更具針對性,黑客在發動攻擊前,可能會在暗網聘用「偵探」來收集特定目標的情報。就如聘用私家偵探獲取情報一樣,「偵察即服務」可能會提供攻擊藍圖,包括機構的安全模式、關鍵網絡安全人員、對方擁有的伺服器數量、已知的外部漏洞,甚至供予出售的外洩認證資料等,幫助網絡犯罪分子進行極具針對性且有效的攻擊。
  3. 自動建立LaaS助長洗錢活動:洗錢通常是透過匿名電匯服務或加密貨幣交易所進行,以逃過被偵查發現,而黑客組職通常會利用錢騾(Money mule)來洗錢,但錢騾招攬活動過程就相當耗時。Fortinet預計,黑客將開始利用機器學習技術來進行招聘定位,助他們更有效識別潛在錢騾,同時減少尋找新兵所需的時間,而「洗錢即服務」(LaaS)料很快成為主流。
  4. 元宇宙界成網絡犯罪新攻擊面:元宇宙的出現,令不少零售商推出相關的數碼商品,但這些新的網絡地點開創無窮的可能性,同時亦打開犯罪大門。舉例,個人頭像基本上是個人身份識別資料(PII)的連接口,這都可成為黑客攻擊的主要目標。此外,由於個別人士可在虛擬城市購買商品和服務,並利用數碼錢包、加密貨幣交易所、NFT或任何貨幣交易,這亦能是另一個新攻擊面。