【鏈新聞觀察】技術麻瓜也能網路犯罪?彭博的實驗結果表明資安問題的嚴重性

Jeff
分享
【鏈新聞觀察】技術麻瓜也能網路犯罪?彭博的實驗結果表明資安問題的嚴重性

普羅大眾甚至是政府部門的官員對資安問題的重視程度仍然不足。為了知道一個普通的非技術人員是否有能力使用勒索軟體並向其他人發起攻擊。彭博社的記者深入暗網購買了一套惡意軟體,並嘗試向他的同事發起攻擊。

結果表明,在暗網市場,惡意軟體已發展成「惡意軟體即服務(RaaS)」,即便是技術麻瓜都有能力對他人發起網路攻擊。

科技發達與網路普及的時代,網路犯罪與資安問題不停在我們的日常生活中上演。2019 年,美國馬里蘭州巴爾的摩市(Baltimore)政府的部分電腦遭駭客綁架,導致市民無法使用電子郵件、水費帳單、房地產買賣和健康警訊等服務,且該攻擊持續時間將近 3 個星期。

廣告 - 內文未完請往下捲動

台灣中油公司今年 5 月 4 日也驚傳遭勒索病毒攻擊,導致全台加油站的捷利卡及中油 PAY 支付全面停擺。此外,台塑集團、力成科技等公司的生產線,也都曾受到勒索病毒的攻擊。資訊安全已經成為我們日常生活中必須加以警覺的重要問題。

麻瓜發起攻擊的可能性:RaaS

為了知道一個普通的非技術人員是否有能力使用勒索軟體。彭博的記者 Drake Bennett 做了一個實驗,他深入暗網購買了一套惡意軟體,並嘗試向他的同事 Max Chafkin 發起攻擊。

Drake Bennett 驚訝地發現,勒索軟體在暗網中的普及與易用程度,與日常生活中的軟體即服務(SaaS)幾乎沒有差別,攻擊者根本不必創建自己的勒索軟體,也不需要具備專業的背景,他們只需在暗網絡上購買服務即可。Drake Bennett 表示:

「惡意軟體論壇的聊天室就像一個市場,你會看到許多人在叫賣不同的惡意軟體與不同的攻擊手法。這個市場已經進階為一種服務,他們稱其為『勒索軟體及服務』概念如同『軟體即服務』。」

Drake Bennett 在聊天室中找到了一個商家,並僅僅花 150 美元就取得了惡意軟體服務的使用權限。最終,Drake Bennett 將帶有勒索病毒的文件傳送給了 Max Chafkin,並完成了攻擊。

感染勒索病毒
資料來源:Bloomberg

雖然這只是一場實驗,Max Chafkin 受攻擊的電腦中並沒有重要文件,但是,Max Chafkin 表示,當看到受攻擊後電腦出現的畫面,心裡仍然會感到恐懼:

「當你看到電腦上出現的訊息時,真的會讓你感到害怕。他們(駭客)會告訴你,你已經被他們控制了,攻擊者擁有你的檔案而且他可以為所欲為,煞那間你會意識到,原來成為一名受害者是這麼容易的事。」

攻擊不會停止!只會不斷進化

類似的攻擊事件永遠不會有停止的一天。英國、德國、瑞士與西班牙等歐洲國家於本週傳出大規模駭客攻擊事件。據稱,攻擊者利用外洩的 SSH (Secure Shell,加密網路傳輸協定)帳密狹持受駭超級電腦,藉此挖取門羅幣(XMR)。各單位為了防止駭客的進一步攻擊,被迫暫停營運或對外連線。

Drake Bennett 在最後向提供他惡意軟體的匿名人士坦承自己是一名記者,並與他進行了一小段採訪。這位自稱 Johnny Blaze(電影惡靈戰警的名子) 的匿名人士表示,他並不是自己一個人在暗網提供這類服務,而是一群年齡介於 18 到 26 歲之間的團隊。

惡意軟體組織
資料來源:Bloomberg

Johnny Blaze 最後更向記者透露,他所使用的 RaaS 是舊產品,該團隊已經在市場上引入更新的服務,他們承諾會比以往做的「更好」