如果有睇電視廣告，一定會對近年「核實電郵者身分，揭穿騙徒真面目」的警方廣告有印象。事實上，今天的黑客跟騙子已經差不多，同樣以博取信任來換取更大利益。Symantec 剛公布的互聯網安全威脅報告（ISTR）就發現，黑客由針對機構管理層（C-Level）改為攻擊保安措施相對較低的秘書或私人助理，甚至有黑客會假扮 FBI 等執法單位，向機構勒索「罰款」，本港機構要留意了。

 

今年首季已追上去年全年數字

Symantec 互聯網安全威脅報告（Internet Security Threat Report, ISTR）是該公司每年發表的權威資訊保安報告，為公眾及企業提供全球互聯網威脅活動趨勢及分析。Symantec 形容2013年為「超級洩密年」（Year of the Mega Breach），過去一年，網絡罪犯發動了一連串史上最具破壞性的網絡攻擊。報告顯示在2013年，全球資料外洩上升達 62%，洩漏約 5.52 億個身分，總數超過整個北美洲人口。

另外，2013 年全球前八大資料外洩事件中，每一次都造成至少 1,000 萬筆紀錄的損失；相較之下，2012 年卻只有一次相同規模的大量資料外洩事件，反映黑客放棄小額獲利的快速攻擊方式，轉而進行長時間潛伏，準備一次性的大規模攻擊計劃。

而出席發表會的香港電腦保安事故協調中心（HKCERT）高級顧問梁兆昌，更表示 2014 年首季該中心接獲的保安事故案例，幾乎已跟 2013 年全年數字相若。他警告本地機構不要以為只是外國才會受到攻擊，香港同樣也是黑客目標，本地機構不能掉以輕心。

 

秘書、私人助理最高危

Symantec 報告中提到，相比 2012 年黑客針對掌握最多公司機密的機構管理層（C-Level）來攻擊，2013 年黑客著眼在同樣有機會接觸大量公司機密，但保安水平卻較低的秘書或私人助理來攻擊。「由於所有人都知道管理層的 IT 保安重要，所以會花費很多資源在這上面，黑客攻擊自然困難。比較起來，秘書要處理很多機密文件，但卻往往沒有高度的保安措施保護，所以成為捨難取易的黑客針對目標。」Symantec 香港系統工程經理李輝說。

李輝提到，黑客會引誘秘書或私人助理打開夾雜惡意程式代碼的文件，事前會做很多背景資料搜集，例如掌握你的客戶資料和習慣，務求令騙局更逼真。政府廣告裡假扮「陳秘書」絕對不是誇張，而且黑客只是騙秘書「打開文件」，而不是入錢到可疑戶口，秘書相對會戒心較低，成功機會自然更高。

「黑客會夾雜內附惡意代碼的文件在郵件中寄給對象的秘書，然後扮成客戶公司的高層，打電話給秘書要求對方開啟。如果對方不是很熟識的話，秘書可能不想得失客戶下而開啟了文件，那秘書就會中招。惡意程式可能會潛伏偷取機密，亦可以作為跳板入侵機構管理層電腦，秘書在不知情下成為了黑客幫兇。」李輝說。

 

假扮 FBI 執法勒索

另外報告中亦到，近年以惡意軟件鎖上受害人電腦的勒索方式有回升趨勢，而且這些黑客不會再假扮防毒軟件引目標安裝，而是假扮成 FBI 等執法機關，要求受害公司「繳交罰款」才能重新開啟電腦，但大多數受害公司在付錢後都無法回復正常的。

「黑客以前會在網站裡彈出警告，說受害人電腦已『中了病毒』，要安裝他們提供的免費防毒軟件才能清除。但其實下載的是惡意軟件，安裝後就會鎖上了電腦，要向黑客繳交贖款才能開啟。但這些案例大多數都是付錢後都不能回復正常的。但由於愈來愈多人知道黑客這種手法，不會再中計，因此黑客就改變做法，假扮執法機關變相勒索。」李輝說。

「現在黑客在目標電腦裝了惡意程式後，就會用『你的電腦用了盜版軟件』或其他名義，鎖上目標的電腦，要求繳交『罰款』才能放行。」李輝說。由於很多公司都擔心被捕和惹上官非，加上沒想過黑客會假扮 FBI 來勒索，加上很多公司都有做過若干可能侵權的行為，心虛之下自然立即付款，讓黑客得逞。Symantec 建議企業教育員工，提供指導方針或防護資訊，以避免中計之餘，也不會自己大意而外洩機構的資料。