什麼是網路犯罪?
網路犯罪是針對或使用電腦、電腦網路或連網設備的犯罪活動。大多數網路犯罪都是由想要賺錢的網路犯罪分子或駭客實施的。然而,網路犯罪有時並非出於獲利目的而破壞電腦或網路。這些可能是政治性的,也可能是個人性的。
網路犯罪可以由個人或組織實施。一些網路犯罪分子有組織、使用先進技術且技術水平高超。其他人則是新手駭客。
網路犯罪有哪些類型?
網路犯罪在法律背景下通常被稱為網路犯罪,包括各種惡意活動,例如:
- 電子郵件和網路詐欺。
- 身分詐欺(個人資訊被竊取和使用)。
- 網路竊盜,包括未經授權取得財務或卡片支付資料。
- 竊取和出售公司資料。
- 網路勒索(索取金錢以防止威脅性攻擊)。
- 勒索軟體攻擊(一種網路勒索)。
- 加密劫持(駭客使用不屬於他們的資源來挖掘加密貨幣)。
- 網路間諜活動(駭客存取政府或公司資料)。
- 以危害網路的方式乾擾系統。
- 侵犯版權。
- 非法賭博。
- 在網路上販售非法物品。
- 索取、製作或持有兒童色情製品。
這些是最常見的網路犯罪類型,但隨著科技的發展,新的威脅不斷出現。網路犯罪涉及以下一項或兩項:
- 使用病毒和其他類型的惡意軟體針對電腦的犯罪活動。
- 利用電腦實施其他犯罪行為的犯罪活動。
以計算機為目標的網路犯罪分子可能會用惡意軟體感染計算機,從而損壞設備或使其停止工作。他們還可能使用惡意軟體刪除或竊取資料。網路犯罪分子可能會阻止使用者使用網站或網絡,或阻止企業向客戶提供軟體服務,稱為拒絕服務 (DoS) 攻擊。
利用電腦實施其他犯罪的網路犯罪可能涉及使用電腦或網路傳播惡意軟體、非法資訊或非法影像。
網路犯罪者經常同時進行這兩件事。他們可能首先將病毒作為目標,然後利用這些電腦將惡意軟體傳播到其他機器或整個網路。一些司法管轄區承認第三類網路犯罪,即使用電腦作為犯罪的幫兇。例如,使用電腦儲存被盜資料。
網路犯罪的例子
以下是網路犯罪分子使用的不同類型的網路犯罪攻擊的一些著名例子:
1.惡意軟體攻擊
惡意軟體攻擊是指電腦系統或網路感染電腦病毒或其他類型的惡意軟體。受到惡意軟體攻擊的電腦可能會被網路犯罪分子用於多種目的。其中包括竊取機密資料、使用電腦實施其他犯罪行為或造成資料損壞。
惡意軟體攻擊的一個著名例子是 2017 年 5 月發生的全球網路犯罪「WannaCry」勒索軟體攻擊。WannaCry 是一種勒索軟體,該惡意軟體透過劫持受害者的資料或裝置來勒索金錢。該勒索軟體針對的是運行Microsoft Windows 的電腦中的漏洞。
當勒索軟體「WannaCry」發動攻擊時,150個國家的23萬台電腦受到影響。用戶被鎖定在文件之外,並收到一條訊息,要求他們支付比特幣贖金才能重新獲得存取權限。
據估計,WannaCry 網路犯罪已在全球造成 40 億美元的經濟損失。時至今日,這次襲擊仍因其規模和影響力而引人注目。
2. 雙重勒索軟體攻擊
近年來,勒索軟體已經演變成一種更具侵略性的形式,稱為雙重勒索。在這些攻擊中,網路犯罪分子不僅加密受害者的數據,而且還在加密過程之前將其洩露。這些被盜資料隨後被用作籌碼:如果不支付贖金,攻擊者就會威脅公佈敏感資訊。一個值得注意的例子是Cl0p 勒索軟體組織,該組織利用廣泛使用的檔案傳輸工具中的漏洞,將目標鎖定跨國公司和政府機構。受害者面臨資料外洩和營運中斷的雙重威脅——這是一種強大的策略,大大提高了贖金遵守率。
3. 網路釣魚
網路釣魚活動是指發送垃圾郵件或其他形式的通信,目的是誘騙收件者做一些破壞其安全的事情。網路釣魚活動訊息可能包含受感染的附件或惡意網站的鏈接,或者可能要求接收者提供機密資訊。
2018 年世界盃期間發生了一起著名的網路釣魚詐騙事件。根據我們的報告《2018 年世界盃詐欺案》 ,世界盃網路釣魚詐騙涉及發送給足球迷的電子郵件。這些垃圾郵件試圖用虛假的免費莫斯科世界盃之旅來吸引球迷。開啟並點擊這些電子郵件中所含連結的人的個人資料被盜。
另一種類型的網路釣魚活動被稱為魚叉式網路釣魚。這些都是有針對性的網路釣魚活動,試圖誘騙特定個人危害其所在組織的安全。
與風格非常普遍的大規模網路釣魚活動不同,魚叉式網路釣魚訊息通常被精心設計成看起來像是來自可信來源的訊息。例如,它們看起來像是來自 CEO 或 IT 經理。它們可能不包含任何表明它們是假的視覺線索。
網路犯罪分子也開始利用人工智慧工具來製作更具說服力的網路釣魚資訊。這些工具可以模仿寫作風格,產生完美的語法,甚至模仿熟悉的溝通模式。結合從社群媒體收集的數據,這使得難以偵測的高度個人化攻擊成為可能。
此外,攻擊者使用人工智慧來自動化和擴大攻擊規模(例如掃描漏洞或在多個目標上部署惡意軟體),從而減少工作量並擴大攻擊範圍。
4. 簡訊網路釣魚和語音網路釣魚攻擊
簡訊網路釣魚 (SMS 網路釣魚) 和語音網路釣魚 (Voice 網路釣魚) 正在興起,它們透過簡訊和電話而不是電子郵件來攻擊使用者。這些騙局通常冒充銀行、快遞服務或政府機構,誘騙收件人洩漏敏感資料或點擊惡意連結。
其中一個例子是,有人透過簡訊聲稱包裹遞送需要海關付款,從而導致出現一個收集信用卡詳細資訊的虛假付款表格。在語音網路釣魚中,攻擊者可能冒充技術支援人員或執法人員,迫使受害者分享登入憑證或轉移資金。
5. 對關鍵基礎設施的攻擊
網路犯罪分子越來越多地將醫療保健、能源和交通系統等基本服務作為目標。這些攻擊可能造成大規模破壞並危及生命。一個突出的例子是 2021 年的 Colonial Pipeline 攻擊,勒索軟體導緻美國東南部的燃料輸送中斷,引發緊急應變並造成暫時的燃料短缺。醫院、水處理設施和公共交通網絡也可能受到類似威脅的影響,凸顯了網路犯罪除了造成經濟損失之外的社會影響。
6.犯罪即服務(CaaS)
網路犯罪生態系統的一個重大發展是犯罪即服務 (CaaS)平台的出現。這些暗網市場允許任何人——無論技術水平如何——購買現成的工具和服務,例如勒索軟體工具包、網路釣魚活動、憑證轉儲和 DDoS 租賃。這種「網路犯罪經濟」大大降低了攻擊者的進入門檻,並推動了網路犯罪網路的快速成長和專業化。
7.分散式DoS攻擊
分散式 DoS 攻擊 (DDoS)是一種網路犯罪攻擊,網路犯罪分子會利用這種攻擊來破壞系統或網路。有時會使用連接的 IoT(物聯網)裝置發動 DDoS 攻擊。DDoS 攻擊透過使用其使用的標準通訊協定之一向系統發送大量連接請求來壓垮系統。實施網路勒索的網路犯罪分子可能會利用 DDoS 攻擊的威脅來索取金錢。或者,當另一種網路犯罪發生時,DDoS 可能被用作一種分散注意力的策略。此類攻擊的一個著名例子是2017 年針對英國國家彩券網站的 DDoS 攻擊。這導致彩票網站和行動應用程式下線,英國公民無法參與彩票遊戲。這次襲擊背後的原因尚不清楚,但人們懷疑這次襲擊是為了勒索國家彩票。
網路犯罪的影響
總體而言,近年來網路犯罪和網路攻擊持續增加。根據 Cybersecurity Ventures 的一項研究,2023 年每 39 秒就會發生一次網路攻擊,相當於每天發生超過 2,200 起事件。這比 2022 年有所增加,當時每 44 秒就會發生一起事故。
埃森哲發布的《2023年網路安全復原力狀況》報告基於對大型組織3,000名安全和業務高管的調查,也證實了網路攻擊的持續威脅。尤其令人擔憂的是勒索軟體攻擊的增加,根據 WatchGuard 的報告,2023 年勒索軟體攻擊比前一年增加了 95%。由於許多公司儲存了客戶的敏感資料和個人訊息,攻擊激增不僅影響企業,也影響個人。
財務、營運和聲譽損失
網路攻擊——無論是資料外洩、惡意軟體感染、勒索軟體還是 DDoS 攻擊——都可能造成毀滅性的財務和聲譽後果。
根據Hiscox 2024 年網路準備報告的最新數據,網路攻擊對企業的影響顯著增加。報告顯示, 67% 的公司在過去 12 個月內遭受網路攻擊,且與前一年相比,同一比例的公司報告的網路事件有所增加。
其影響往往不限於直接的經濟損失。近47%受影響的企業難以吸引新客戶, 43%受影響的企業失去了現有客戶, 38%受影響的企業因媒體負面通報而聲譽受損。
網路犯罪不僅會損害公司,個人也可能面臨嚴重後果,包括身分詐欺、財務損失和信任喪失。
針對中小企業和供應鏈脆弱性
中小型企業 (SME) 和遠端基礎設施已成為主要目標,尤其是自 COVID-19 疫情期間轉向廣泛遠距工作以來。許多組織缺乏強大的網路安全防禦,因此容易受到勒索軟體、網路釣魚和供應鏈攻擊。
網路犯罪分子越來越多地利用值得信賴的第三方供應商同時入侵多個受害者——這種策略被稱為供應鏈攻擊。SolarWinds 和 Kaseya 等事件表明,一個受到攻擊的提供者可能會影響數千家下游企業。Hiscox 的數據顯示,近五分之一的中小企業認為,一次成功的網路攻擊可能會迫使他們徹底關閉,這凸顯了加強整個供應鏈網路安全的迫切需求。
全球回應與網路安全立法
隨著網路威脅規模和複雜程度的增加,國際合作和監管變得至關重要。歐洲刑警組織、國際刑警組織和聯合國等組織目前在協調跨國網路犯罪調查方面發揮積極作用。各國也推出了新的立法來加強數位防禦。歐盟的 NIS2 指令和《布達佩斯網路犯罪公約》等全球框架是旨在提高回應能力和復原能力的不斷發展的法律結構的例子。這些努力也要求公司承擔更大的責任,以保護資料並迅速報告違規行為。
如何檢舉網路犯罪
澳洲:澳洲網路安全中心提供有關如何舉報網路犯罪的資訊。
歐洲:歐洲刑警組織有一個有用的網站,其中匯總了每個歐盟成員國的相關網路犯罪報告連結。
香港:反詐騙協調中心(香港)
印度:造訪網路犯罪入口網站
紐西蘭:在Netsafe 上舉報網路犯罪(紐西蘭)
南非:舉報南非的網路犯罪
沙烏地阿拉伯:訪問 https://nca.gov.sa/en/ 並舉報沙烏地阿拉伯的網路犯罪
泰國:在泰國聯絡泰國熱線
阿聯酋:您可以在此官方網站上找到有關如何舉報阿聯酋網路犯罪的資訊。
英國:盡快聯絡Action Fraud – 造訪其網站以了解更多資訊。
如何保護自己免受網路犯罪的侵害
鑑於其普遍性,您可能想知道如何阻止網路犯罪?以下是一些保護您的電腦和個人資料免受網路犯罪侵害的明智建議:
1. 保持軟體和作業系統更新
保持軟體和作業系統的更新可確保您受益於最新的
安全性修補程式來保護您的電腦。
2. 使用防毒軟體並保持更新
使用防毒軟體或卡巴斯基專業版等全面的網路安全解決方案是保護您的系統免受攻擊的明智方法。防毒軟體可讓您在威脅造成問題之前進行掃描、偵測和刪除。實施此保護有助於保護您的電腦和資料免受網路犯罪的侵害,讓您安心。保持防毒軟體更新以獲得最佳等級的保護。
3. 使用強密碼
請務必使用別人無法猜到的強密碼,並且不要將其記錄在任何地方。或使用信譽良好的密碼管理器隨機產生強密碼以使這更容易。
4. 切勿開啟垃圾郵件中的附件
電腦受到惡意軟體攻擊和其他形式的網路犯罪感染的典型方式是透過垃圾郵件中的電子郵件附件。切勿開啟來自不認識的寄件者的附件。
5. 不要點擊垃圾郵件或不可信網站中的鏈接
人們成為網路犯罪受害者的另一種方式是點擊垃圾郵件或其他訊息中的連結或陌生的網站。避免這樣做以確保線上安全。
6. 除非安全,否則不要洩露個人資訊
除非您完全確定線路或電子郵件是安全的,否則切勿透過電話或電子郵件洩露個人資料。確保你正在和你認為的那個人說話。
7. 直接聯絡公司,告知可疑請求
如果某家公司打電話給您並要求您提供個人資訊或數據,請掛斷電話。使用其官方網站上的號碼為他們回電,以確保您正在與他們通話,而不是與網路犯罪分子通話。理想情況下,使用不同的電話,因為網路犯罪分子可能會保持線路暢通。當您以為自己已重新撥號時,他們可能會假裝來自您認為正在通話的銀行或其他組織。
8. 注意你造訪的網站網址
請留意您所點選的 URL。它們看起來合法嗎?避免點擊不熟悉的連結或看起來像垃圾郵件的 URL。如果您的網路安全產品包含保護線上交易的功能,請確保在進行線上金融交易之前啟用該功能。
9. 留意你的銀行對帳單
迅速發現自己已成為網路犯罪的受害者非常重要。密切注意您的銀行對帳單並向銀行查詢任何不熟悉的交易。銀行可以調查他們是否有詐欺行為。
好的防毒軟體將保護您免受網路犯罪的威脅。了解有關卡巴斯基專業版的更多資訊。
