Fortinet公布《2023全球資安威脅預測》。報告顯示,全新崛起的「網路犯罪即服務(Cybercrime-as-a-Service,CaaS)」攻擊手法正在快速演變,針對邊緣設備或虛擬世界等非典型目標大舉進攻的威脅數量、種類與規模也將急遽成長。而勒索軟體即服務(Ransomware-as-a-Service,RaaS)、偵查即服務(Reconnaissance-as-a-Service)、洗錢即服務(Money Laundering-as-a-Service,LaaS)、虛擬城市內的網路犯罪及資料破壞(Wiper)惡意軟體商品化亦會影響網路犯罪即服務未來一年的發展。
FortiGuard Labs研發中心《2023全球資安威脅預測》觀察到的五大趨勢包括:
基於勒索軟體即服務的成功,越來越多的網路犯罪者將透過暗網提供攻擊服務,以推進「網路犯罪即服務」的商業模式。除了兜售勒索軟體及惡意軟體即服務(Malware-as-a-Service,MaaS)等商品,駭客更發展出前所未見的「選單式」服務,讓網路犯罪者無需事先投入時間和資源,即可利用多面向的攻擊技術及一站式服務,量身打造出獨一無二的攻擊計畫。對網路犯罪老手而言,打造與銷售這類「即服務」的攻擊產品,能夠以簡單、快速且重複性高的手法,輕鬆獲取高額利益與報酬。展望未來,以訂閱制為基礎的「網路犯罪即服務」商品不但將成為網路犯罪者的額外收入來源,駭客亦會使用深偽技術等新興攻擊手段,於更多管道販售變造的影片、錄音檔案及相對應的演算法。
隨著資安攻擊變得更具針對性,駭客組織將很有可能在暗網上雇用「偵探」,在發動攻擊行動前調查特定目標的相關情資。「偵察即服務」產品將提供惡意行為者完整的「攻擊藍圖」,包含企業安全架構、資安專責人員名單、內部伺服器數量、已知的外部漏洞,甚至是早已外洩的待售機敏資訊,力助網路犯罪者實現具備高度針對性且更加有效的攻擊手段。為了將「網路犯罪即服務」帶來的威脅降至最低,組織必須結合欺敵策略和數位風險保護(DRP),在偵察階段即開始對抗惡意活動,以獲取資安防禦的絕對優勢。
為了發展更強大的網路犯罪集團,駭客組織通常會雇用「錢騾」洗錢,並透過匿名電匯服務或加密交易轉移資金,避免從事非法活動的風聲走漏。然而,招聘錢騾的過程相當耗時,網路犯罪者必須建立各種不同名目的假網站,以合法化表面上的業務。因此,駭客組織很快就會改為使用機器學習招募新血,幫助他們判別「潛在的錢騾」,並減少整體流程所花費的時間。此外,「洗錢即服務」的攻擊規模未來也將迅速擴大,成為「網路犯罪即服務」的主流產品,同時以自動化服務取代傳統錢騾,使洗錢活動變得更難以追蹤,進而大幅降低追回被盜資金的機會。
元宇宙在資訊世界催生了嶄新的沉浸式體驗,像「虛擬城市」便是透過擴增實境(AR)技術,虛擬實境(VR)技術與混合實境(MR)技術搭建起連結網際網路與現實世界的橋樑。雖然數位科技為人類的未來創造無限可能,卻也助長未知領域的資安事件發生。由於人們可以在虛擬城市裡購買商品和服務,因此不管是數位錢包、虛擬貨幣交易所、NFT,還是可用於交易的所有貨幣,都為網路犯罪者開啟了全新的攻擊面。於此同時,虛擬城市的AR或VR驅動元件也可能使指紋對應、臉部辨識資料、視網膜掃描等生物特徵落入攻擊者手中,並衍生出資料竊盜、詐騙、勒索等犯罪行為。