觀點

社交攻擊再進化 電商客服人員成攻擊目標 (上)

2016 / 06 / 28
編輯部
社交攻擊再進化 電商客服人員成攻擊目標 (上)

2016年初爆發多起臺灣人在海外詐騙被抓的新聞之後,勢必又勾起許多人心中的痛苦記憶,即數年前一度在臺灣非常盛行電話詐騙案。當時詐騙集團都是利用電商或電視購物公司在個資管理上的漏洞,先取得消費者購物資訊之後,再透過各種術語誘騙受害人匯款。為解決此一問題,當時在行政院主導下,各單位都採取相關措施,其中法務部則制訂新版個人資料管理法,並且在2012年10月1日正式實施後,才迫使商業組織開始強化自身管理消費者資料的能力,解決民眾個資被濫用的問題。

網路購物成趨勢 電商受攻擊比例攀升
其實為獲取龐大商業利益,駭客組織多年來不斷透過各種管道入侵企業,除竊取高附加價值的商業機密之外,也希望能夠獲得更多消費者個資,以便透過販售給詐騙或犯罪集團的方式,能從中取得更多經濟利益,如2013年美國連鎖百貨Target遭駭客入侵事件、2015年美國人事管理局爆發的資安事件,均導致高達上千萬筆個資被竊取,可預期未來幾年會有詐騙行為發生。從ITRC(Identity Theft Resource Center)公布2016年全球資料外洩報告中,前五個月已共爆發454起重大資料外洩事件,整體資料洩漏數多達12,669,555筆,足以證明駭客組織竊取個資腳步從來沒有停歇。

在行動裝置出貨量大增下,網路購物也朝向O2O(Online to Offline)虛實通路整合發展,儼然成為多數消費者生活中不可或缺的重要購物管道之一,根據資策會產支處調查結果顯示,2015 年臺灣電子商務市場產值約達到新臺幣1兆零69億元,未來幾年都會呈現平穩成長的趨勢。此種消費習慣轉變的趨勢,自然讓電商網站成為駭客主要攻擊目標,根據刑事局科技犯罪防制中心調查分析顯示,在駭客攻擊頻率增加的趨勢下,若電商業者沒有建置完善保護機制,勢必會導致大量個資被竊取,也可能讓網站成為駭客發動社交攻擊、散播惡意程式的溫床。

警政署刑事警察局電信偵察大隊隊長莊明雄表示,隨著B2C交易市場蓬勃發展,不少公司迎合消費者購物習慣,都紛紛成立電子商務平臺,並且在各大入口網站購買廣告,已吸引消費者上門消費。若入口網站本身防護能力不夠完整,或製作網站廣告的業者欠缺資安知識,原本吸引消費者點閱的廣告連結,便很可能遭到駭客組織竄改,讓民眾連上惡意網站而不自覺。其次,多數電商網站也欠缺足夠防護能力,以致於經常出現大筆個資被竊之後,業者仍然不自覺的狀況,自然也導致各種網路詐騙行為不斷發生。 

社交攻擊進化 員工受騙機率高
過去10多年來在運用郵件夾雜惡意檔案、惡意連結,一直是駭客偏愛使用的手法攻擊,儘管市面上有不少反垃圾郵件軟體,依然無法有效阻擋此攻擊模式對企業帶來的威脅。尤其在社交平臺蓬勃發展下,駭客組織也採用以社交主題的攻擊策略,以便能夠躲過閘道端資安設備檢查,同時誘騙消費者或員工上當,進而達成入侵公司內部網路,伺機竊取商業機密的目的。

莊明雄指出,基本上電子郵件攻擊模式並沒有太大改變,只是現今會以臉書、Youtube等網站名義發送的案例增多,也很容易誘使消費者或員工點閱附加檔案或連結,輕鬆完成安裝後門程式、建立C&C通道等步驟,在受害者不知情的狀況下,將大量個資傳送出去。

資策會資安科技研究所林耕宇說,駭客入侵企業手法大致上可以分成2大類,前述電子郵件詐騙是屬於最常見的社交攻擊手法之一,當然也有駭客選擇直接攻破網路閘道器的外部攻擊。只不過相較之下,以社交攻擊成本最低、效果最好,也成為駭客攻擊電商業者的慣用手法。

舉例而言,駭客組織可能以購物過程遇到問題為主題,以產品有瑕疵為由發送內藏惡意連結或惡意程式的照片檔案郵件給電商客服中心,讓員工失去警戒心而開啟附加檔案,導致電腦在無形中被植入後門程式。另外,部分員工因為本身資安意識不足,不小心點閱廣告信、或瀏覽不安全網站,而導致被駭客入侵的狀況,亦屬於社交攻擊的一部份。

林耕宇說,社交攻擊手法會成功除肇因於員工疏忽之外,部分原因也歸咎於資安防護設定上的疏忽,多數資安人員設定防火牆等設備時,都僅針對外部封包進行過濾與防護,導致當惡意程式順利進入公司內部網路之後,駭客便能在沒有任何阻擋下順利存取資料庫中的資料。至於外部攻擊手法則可能會用大流量的DDoS攻擊,癱瘓閘道端資安設備的運作,最後再趁著資安防護能力薄弱當下,輕鬆達成入侵企業網路。

此外,資策會也曾發現有駭客組織利用電商平台郵件主機防護能力不足,對連續密碼測試沒有預警機制的漏洞,直接利用暴力法破解系統管理人員的帳號,所以建議資安人員應該要重視每個環節,才能將駭客入侵機率降到最低。

[下回分享] 行動裝置漏洞,山寨APP數量暴增外,也提出降低資安風險的方法。