電子郵件攻擊持續高發

商業電子郵件攻擊 （BEC） 事件在2018年持續增長，并最終導致全球數十億美元的損失，由于其主要依賴于社會工程學，并向特定目標發送釣魚郵件，致使一些用戶防不勝防。一個典型的例子是，亞信安全在2018年發現了大量攻擊IP來自尼日利亞的 BEC 攻擊。在這些BEC攻擊中，黑客選取郵件作為攻擊向量，同時偽造發件人地址，以達到欺騙的目的。

本年度亞信安全還截獲大量利用垃圾郵件附件進行攻擊活動，這些攻擊活動使用的郵件附件均是惡意文件，郵件附件可能是偽裝的 JPG 文件，也可能是嵌入 IQY 病毒的 PDF 文檔，帶有附件的垃圾郵件攻擊活動典型特點是利用社會工程學偽裝郵件附件，誘騙收件人點擊附件，執行病毒程序。

除了以企業為目標的電子郵件攻擊之外，本年度敲詐勒索垃圾郵件盛行，此類垃圾郵件主要是通過社會工程學，利用人性弱點，恐嚇收件人，從而達到勒索錢財目的。亞信安全建議，無論是企業還是消費者都要加強防護，要謹慎打開來源不明的電子郵件及附件，仔細甄別郵件內容，避免輕易上當受騙。

2019年預測：數據安全成為攻防焦點 云計算、智能家居成為重要目標

2019年2019 年網絡安全形勢仍然不容樂觀，會出現不少新的威脅。對此，從個人安全、企業安全、 安全行業、工控安全、云安全和智能家居六大領域進行安全威脅預測分析。

數據安全和隱私保護成為重要問題

在2019年，“5G 時代”將加速落地，人們對于互聯網的依賴也將大大增強，用戶數據將成為網絡犯罪分子覬覦的重要目標。亞信安全預計，2019年網絡釣魚攻擊案件將會大幅度增加，利用社會工程學發動釣魚攻擊將會取代漏洞利用套件作為攻擊媒介，網絡犯罪分子還會瞄準著名網站社交賬號進行攻擊。在這些數據出現泄露之后，詐騙事件以及針對被害人各種隱私的攻擊事件將會變得更為普遍將會更加普遍。

企業數據同樣將成為網絡攻擊的重要目標。目前，網絡犯罪分子發動的 BEC 攻擊還被證明成功入侵了石油、天然氣等重要行業的基礎設施，導致重要資料被竊取。亞信安全預計，BEC 攻擊目標將由 “C”級別高管轉向較低級別員工（如 CEO 秘書，財務主管或者經理等）。同時，2019 年將會有犯罪分子利用GDPR 準則或是網絡安全法的相關規定，對于企事業單位進行勒索。

此外，家庭網絡與工作網絡將使個人、企業數據出現更多的“泄漏點”。 研究人員已經證明，智能揚聲器等智能家居可以用來泄露個人數據，亞信安全預計， 2019 年將會出現攻擊者利用智能家居漏洞，通過家庭網絡對公司網絡進行攻擊的現象。

“云化”的業務將面對更多風險

雖然云安全已經成為一種至關重要的網絡安全領域，但是云計算本身所面臨的安全威脅已經愈發不容忽視，亞信安全預測，將會有更多因為云遷移配置錯誤導致的數據泄露案例，越來越多的網絡犯罪分子將試圖劫持云帳戶以挖掘加密貨幣。同時，隨著云用戶的增長，網絡犯罪分子將會試圖挖掘云基礎設施的各種漏洞，以執行不同的犯罪行為。

網絡攻擊技術將不斷升級

這份長達近50頁的《報告》還預測，網絡犯罪分子在2019年將不斷提升他們的專業技術，突破殺毒軟件的防御，這些新技術包括使用非常規文件擴展名、更多地使用“無文件”組件、使用數字簽名技術、使用Mshta等新技術、修改或感染合法系統文件，其最終目的在于躲避安全防護系統的檢測與查殺，更好地侵入到目標系統。

未來的網絡安全領域充滿變數，喜憂參半。喜的是，攻擊者將繼續利用已知漏洞進行攻擊，基本上不會出現 0day 漏洞攻擊。憂的是，人工智能（ AI ）技術將被應用于高度針對性的攻擊，以提升網絡攻擊的成功率。

關鍵基礎設施風險將持續攀升

2019 年，針對工業控制系統攻擊將成為關注點，攻擊者將試圖通過各種手段侵入工業控制系統。同時，未來將有更多的人機界面（HMI）漏洞被披露，這也將成為網絡犯罪分子侵入工業控制系統的一種重要方式。

工業控制系統作為能源、制造、軍工等國家命脈行業的重要基礎設施，在信息攻防戰的陰影下安全風險持續攀升，保護這些重要基礎設施是國家網絡安全戰略，也是亞信安全戰略工作的重點。協助關鍵行業用戶保護基礎設施，確保社會安定運轉，是信息安全產業及其上下游企業共擔的歷史使命。