安全厂商赛门铁克报告示警,越来越多黑客在零售商网站植入恶意程序,以盗取消费者信用卡数据牟利,这种“表单劫持”犯罪手法恐将超过勒索软件、加密劫持等常见的黑客攻击,成为网络安全最新威胁。
报告指出,去年平均每个月有4,800 多个零售商店网站遭“表单劫持(formjacking)”攻击,以一张信用卡数据最高可卖45 美元( 新台币约1,390 元)计算,一个网站只要10 笔信用卡被盗,合计网络犯罪份子每月不法所得高达220 万美元。
赛门铁克大中华区首席首席运营官罗少辉说,2018 年赛门铁克共拦截超过370 万次表单劫持端点攻击,其中近三分之一都被监测到发生在全年最繁忙的网购高峰期,也就是11 月和12 月。
罗少辉也说,去年犯罪分子通过兜售消费者个人及财务信息,共牟取了数千万美元的不义之财,这些消费者信息均通过信用卡诈骗获得。
赛门铁克 7 日发布 2019 年“网络安全威胁报告”,综合介绍当今网络威胁态势,并对全球威胁活动、网络攻击动向和攻击动机提供深度观察。
这份报告是根据赛门铁克布署全球超过 157 个国家和地区、约 1.23 亿个监测终端,平均每天拦截 1.42 亿次网络攻击,所得数据分析的结果。
罗少辉表示,表单劫持(Formjacking)攻击指的是,网络犯罪分子将恶意程序代码植入零售商网站,消费者在电商网站的电子表单上输入信用卡数据,例如持卡人姓名、有有效期限、帐单地址等,相关信息都会被恶意程序代码回传给黑客。
罗少辉说,赛门铁克报告显示,2018 年由于加密货币大跌、以及云计算和行动运算采用率增加等因素,黑客攻击“利润”明显缩水,助长“表单劫持”歪风,不过“加密劫持”因门槛低、开销小且具匿名性,仍是黑客惯用手法,光是2018 年12 月,赛门铁克就拦截了350 万次端点加密劫持攻击。
赛门铁克台湾分公司首席技术顾问张士龙说,智能手机能当作摄影机、监听设备和位置跟踪器,可说是“有史以来最方便的监视设备”。智能手机除了被一些国家政府用做一般监控手段之外,也通过收集消费者个人信息,成为不法分子的摇钱树,其中移动应用程序开发者是最严重的隐私侵犯者。
根据赛门铁克研究,45% 的最常用Android 应用程序和25% 的最常用iOS 应用程序请求使用位置跟踪;46% 的主流Android 应用程序和24% 的主流iOS 应用程序请求获得设备摄影机访问权限;44% 的热门Android 应用程序和48% 最受欢迎的iOS 应用程序要求共享电子邮寄地址。