您现在的位置是:主页 > D生活妝 >GDPR 成骇客勒索「神助攻」帮手:钱交出来,不然我就公开公

GDPR 成骇客勒索「神助攻」帮手:钱交出来,不然我就公开公

2020-06-07262观看

GDPR 成骇客勒索「神助攻」帮手:钱交出来,不然我就公开公

曾经引起网路灾难的勒索病毒相信大家还记忆犹新,而现在骇客再度捲土重来,但并不是绑架机密资料档案威胁撕票,而是採用新方法:威胁给钱,不然他们就会「把资料公诸于世」。

锁定中大型企业,窃取个资要胁公开

来自保加利亚的资安公司 TadGroup 于 6 月 22 日发布了一份 报告 ,文中提到了一种新形态的骇客勒索攻击,被称为「Ransomhack」。

这种攻击型态的前期与勒索病毒类似,骇客找寻受害者电脑的弱点,并试图送入恶意软体。但不同于勒索病毒在入侵后加密并锁定所有档案,执行勒索攻击的骇客会将电脑中的资料窃取出来,并以此作为勒索条件。

GDPR「神助攻」,企业若不从将遭受巨额罚锾

过往,这样的勒索并不会造成中大企业过于巨大的损失,尤其受影响的资料并非公司本身机密,而是一般使用者资料;然而自从 GDPR 施行之后,若是企业发生个人资料外洩事件,将面临欧盟针对企业开罚全球年营业额 4%,或是最高达 2000 万欧元(约为台币 7.09 亿元)的罚锾,这对于企业而言是一笔庞大的开销。

相较之下,通常执行勒索攻击的骇客,要求大多是透过无法追蹤的加密货币,支付约 30,500 到 61 万台币价值不等的赎金,与 GDPR 罚款相比真的是太小了,许多受到攻击的企业最后都会选择支付赎金,息事宁人。

「通报义务」规定再补刀,企业怎幺做都亏钱

然而,这样还没完,因为根据 GDPR 的规定,一旦企业遭遇资料窃取事件时,必须于 72 小时内向主管机关通报相关事件。在 TadGroup 报告中举例,他们保加利亚国内企业在相关事件中的主管机关,就是个人资料保护委员会,而委员会收到报告后,就会依据企业的违规程度,给予一定的惩罚。

换句话说,若是企业被攻击后,通报了主管机关,将会被惩处;但若是付钱息事宁人,之后如果被查出来,还是会被惩处,而且惩罚是加重的,企业不管是想坦然面对,或是私下解决,最终似乎都逃不了被罚的命运。

隐私权政策符合 GDPR 了,那资安呢?

报告中也提到,根据可信的消息来源,这些受到攻击的企业均是在 GDPR 法规上路后,有採取对应的规定修改与其它调整,以符合 GDPR 针对个人资料保护的规範,然而这些公司却大多没有评估到透过网路、骇客攻击所造成的资料外洩可能性。

若是想避免相关的情况发生,报告中建议企业可以进行自我渗透测试,执行模拟的骇客攻击,并且从中发现漏洞,及时修补,避免自家企业成为下一个受害者。

─ ─

参考
TadGroup Blog:Ransomhack – a new scheme for blackmailing business owners
iThome: 不付赎金就公开个资!GDPR 反成勒索攻击 Ransomhack 的威胁武器
siliconANGLE:Europe’s GDPR leveraged in new form of cyberattack dubbed a ‘ransomhack’

上一篇: 下一篇:

最新文章

热门文章