資安廠商賽門鐵克報告示警,愈來愈多駭客在零售商網站植入惡意程式,以盜取消費者信用卡資料牟利,這種「表單劫持」犯罪手法恐將超過勒索軟體、加密劫持等常見的駭客攻擊,成為網路安全最新威脅。

報告指出,去年平均每個月有 4,800 多個零售商店網站遭「表單劫持」(formjacking)攻擊,以一張信用卡資料最高可賣 45 美元( 新台幣約 1,390 元)計算,一個網站只要 10 筆信用卡被盜,合計網路犯罪分子每月不法所得高達 220 萬美元。

賽門鐵克大中華區首席營運長羅少輝說,2018 年賽門鐵克共攔截超過 370 萬次表單劫持端點攻擊,其中近三分之一都被監測到發生在全年最繁忙的網購高峰期,也就是 11 月和 12 月。

羅少輝也說,去年犯罪分子透過兜售消費者個人及財務資訊,共牟取了數千萬美元的不義之財,這些消費者資訊均透過信用卡詐騙獲得。

賽門鐵克 7 日發布 2019 年「網路安全威脅報告」,綜合介紹當今網路威脅態勢,並對全球威脅活動、網路攻擊動向和攻擊動機提供深度觀察。

這份報告是根據賽門鐵克部署全球超過 157 個國家和地區、約 1.23 億個監測終端,平均每天攔截 1.42 億次網路攻擊,所得資料分析的結果。

羅少輝表示,表單劫持(Formjacking)攻擊指的是,網路犯罪分子將惡意程式碼植入零售商網站,消費者在電商網站的電子表單上輸入信用卡資料,例如持卡人姓名、有效期限、帳單地址等,相關資訊都會被惡意程式碼回傳給駭客。

羅少輝說,賽門鐵克報告顯示,2018 年由於加密貨幣大跌、以及雲端和行動運算採用率增加等因素,駭客攻擊「利潤」明顯縮水,助長「表單劫持」歪風,不過「加密劫持」因門檻低、開銷小且具匿名性,仍是駭客慣用手法,光是 2018 年 12 月,賽門鐵克就攔截了 350 萬次端點加密劫持攻擊。

賽門鐵克台灣分公司首席技術顧問張士龍說,智慧手機能當成攝影機、監聽裝置和位置跟蹤器,可說是「有史以來最方便的監視設備」。智慧手機除了被一些國家政府用做一般監控手段,也透過收集消費者個人資訊,成為不法分子的搖錢樹,其中行動應用程式開發者是最嚴重的隱私侵犯者。

根據賽門鐵克研究,45% 的最常用 Android 應用程式和 25% 的最常用 iOS 應用程式請求使用位置跟蹤;46% 的主流 Android 應用程式和 24% 的主流 iOS 應用程式請求獲得裝置攝影機存取權限;44% 的熱門 Android 應用程式和 48% 最受歡迎的 iOS 應用程式要求共用電子郵寄地址。

參考來源