随着新技术和设备的发展将世界连接得日益紧密,消费者将面临一系列令人担忧的新网络安全问题和前所未有的隐私风险挑战。NortonLifeLock研究团队的专家们针对消费者在2020年所将面临的网络安全与隐私风险做出以下七大预测,提醒消费者提高警觉。
NortonLifeLock大中华区首席工程师王世煜表示:“5G应用带动物联网的发展态势,随之而来的是更复杂的安全问题,网络用户暴露在诈骗与个人信息泄露的风险中,甚至可能直接危害人身安全,因此公私领域皆需要加强网络与隐私的保护。”
网络罪犯会通过窃取个人数据来开展他们的业务,但他们的野心并不止如此。NortonLifeLock预计在2020这一年中,网络罪犯将为实体犯罪者提供越来越多的协助,让有心者能更轻易地在实体世界进行犯罪。
这意味着将有被盗的智能锁密码组合当地下论坛中销售,购买者可通过密码控制“智能家居”中常见的数字设备,如智能锁或智能摄影机,来锁上大门,强迫受害者支付比特币以换取对房屋的控制权,并借由远程可以达到编辑某人的联网摄影机记录、删除洗劫受害者房屋时被拍摄到的所有片段,来消灭自己的犯罪证据。
另外也有诈骗集团通过游戏或APP,引导手机用户登录不明ID,再远程绑架手机要求用户支付解锁费。这些威胁将从网络延伸至实体动态,甚至达到潜当地威胁实际人身安全的程度。
明年此时,NortonLifeLock希望全世界都能了解“Creepware”偷窥软件所带来的威胁。这些应用程序的目的在于骚扰受害者,使攻击者可以进行各种霸凌、使受害者难堪或以其他方式破坏受害者的生活。
Norton LifeLock与其他网络安全研究人员一直在关注偷窥软件,下载网站平台的运营商也非常努力将偷窥软件拒之门外,然而偷窥软件的开发人员持续针对掩盖其应用程序的目的进行不断的更新,替换已被下载平台删除的应用程序,让偷窥软件更难被发现。
在2019年期间,NortonLifeLock发现大量偷窥软件应用程序被用来进行人与人之间的攻击,而有1,000个我们发现的偷窥软件和监视应用程序随后都被Google从其Google Play商店中删除。
攻击者使用这类软件的攻击方式非常具有创造力。例如:某些偷窥软件应用程序可一次发送数百条短信攻击某个人,受害者的电话帐单若是按短信数量收费,可能会因此导致电话费暴增。
另外,也有攻击者使用偷窥应用程序发送假短信破坏某人与朋友家人之间的关系。到目前为止,虽然攻击方法持续增加,但多数人还没有意识到这一类的威胁。NortonLifeLock预计随着偷窥软件在未来12个月内成为主流,会有更多人更清楚意识到这种攻击。
随着台湾的大选已在年初举行完毕,再来便是美国进入了大选之年,我们预期在技术工具的演进下,假消息将会更加广泛地模糊真实和非真实之间的界限。
人们相信眼见为凭,看见图片便认为是真实的,但在数字世界里眼见为凭无法自动成立,随着DeepFake语音与图片变成主流,过去被视为科幻的东西将逐步进入现实,人们将无法完全凭借着自己的能力判断真假。
我们谈论假消息时,通常会提到刊登假新闻的网站,但实际上那并不是假新闻的源头。假新闻的源头是发起人利用可被两极分化的报道,从上下文中各拿出一些信息拼凑,并通过人头账户宣传。例如使用一张很久以前拍摄的照片,在社群媒体上引爆话题,假装是为了说明政治观点而拍摄的来吸引人们的注意力。
许多国家和地区认为假消息是塑造其海外形象的有效工具。这些消息通常会通过社群媒体、策划、干预、塑造媒体趋势、撰写社论等一切方式支持政府,并以最积极的态度进行宣传。甚至许多发展中国家也都会利用假消息,作为控制其境内异议的一种方式。
不幸的是,目前尚未有一种统一的方法来识别和打击假消息。但可以肯定在2020年,假消息将继续存在并蓬勃发展。
为了迎接5G时代,必须刺激超快速网络与相关设备的增长,好以更快的速度提供无缝的用户体验,而这为物联网供应商带来了新的挑战。在确保设备安全方面,物联网供应商将面临极大的压力。
由于设备制造商倾向尽快推出设备,提供消费者想要的功能,因此会采取一些安全方面的捷径以免延误生产进度,结果导致消费者很少能了解他们买回来的设备的安全风险,甚至玩具也不能幸免。
尤其那些带有GPS的设备,可能会在无意间对外透露儿童位置,让儿童产生发生危险的风险。又像是智能摄影机与智能家电的线上流媒体,原本是用于保护居家安全,却让用户看到陌生的图片,或是使致个人图片外流。
即使现在制造业有意要弄清楚如何更好地保护设备,5G带来的挑战也比他们以往所面临的更为艰巨。从2020年起,成千上万的设备将连接到5G商业网络和(越来越多的)智能家居,除非设备制造商能确实执行设备安全措施,否则“物联网大决战”的前景仍然是非常现实的威胁。
在过去的几年中,勒索软件已成为市政当局、医疗机构和小型企业的麻烦源头。恶意攻击者针对基础设施投资不足或安全处理草率的目标下手,轻易冻结他们的网络并扣押他们的数据加以勒索。在2020年,使用勒索软件的攻击者将追逐更艰巨、利润更高的目标,针对制造业和无法承受宕机时间的关键基础设施组织下手。
与这类专业勒索软件攻击者的对抗将越来越困难。他们有能力执行复杂的攻击任务,安静地在网络内部搜集情报达数月之久,并在攻击之前了解攻击地点的资产、备份状况与端点位置,让攻击更加顺利。他们的计划成功与否将取决于受害者的安全保护状况,尽管企业们已意识到了这种威胁,仍有许多公司因财务因素而调降了安全的优先性。
欺诈者将会更尽力地使用各种新旧技术,来诈骗那些未发现自己正走向网络陷阱的受害者,窃取他们的数据与其他有价值的数据。
“Juice Jacking”手机充电站攻击就是一个日益严重的问题。受害者在不知情的情况下通过插入USB接口或使用被黑客装有恶意软件的USB电线为设备充电,在被收取费用的同时,也冒着数据被窃取的风险。
目前尚不清楚这将在2020年造成多大的问题,但洛杉矶地区检察官办公室已经在其社群媒体平台上发布了一份警告,建议游客避免在机场和其他公共场所使用公共充电站。
欺诈者也将越来越常使用DeepFake音频,打电话给受害者并假装是他们的亲人,说他们正在旅行但损失了所有钱需要汇款协助。
最后,Credential Stuffing(凭证填充攻击,指使用被盗的账户凭证试图登录网络服务)将成为一个主流问题,越来越多诈骗者转向暗网取得被盗的账号和密码用于社群媒体平台或网站上,尝试解锁受害者的个人数据,他们能在几秒钟之内突击数百个网站直到进入网站为止。除非那些账号密码被盗的人选择使用2FA(双向认证),否则他们将面临极大的风险。
新的数据外泄事件发生时,消费者总是因为他们的个人信息被保护不足而感到愤慨,但至今许多公司的数据收集政策依旧神秘得让人难以理解,消费者经常对谁拥有他们的数据及如何使用它们一无所知,所以他们将不满的情绪转为对公司和机构认真保护用户身份和隐私的要求也就不那么令人惊讶。
2020年1月1日生效的《加利福尼亚消费者隐私法案》即是在加强隐私权和保护消费者,同时另外一些州和美国联邦也都在针对隐私法案深入进行讨论。
另一方面,台湾的安全法规精神也逐步成熟,例如2019年某知名保险公司就因为安全缺失跟违反个人信息法遭受巨额罚款。随着越来越多的公司和个人寻求针对网络威胁的保险,网络保险的业务将会有所增长。
另一个潜在的问题是:随着越来越多的专业脸部识别和监视技术被普遍地被使用在公共场所,我们几乎所有时间都在训练监视器的监视能力。
在某些国家频繁出现监视器侵犯私人生活的状况,而人们自然地认为监视器是在跟踪他们的行踪。但在发展成熟的国家中,隐私已被认为是政府应该要保护的一项基本权利,若不加以规范,不断提高的人脸识别准确性将引发问题。
隐私的保护几乎已经成为一种特权,预期人们将持续推动政府加强对隐私权的保护。