日本從去年開始,針對入口網站以及會員登入的網站發生了許多網絡攻擊事件。這些事件裡有很大的一部分是使用了別的管道得到的帳號密碼配對來進行登入,並使用了相當有效的自動攻擊工具。這類攻擊使用了清單(list),因此稱之為「清單型」網絡攻擊,而使用的工具中國大陸稱之為掃號器。
如何防範這一類攻擊保護帳號內所有的個人資料,妥當的管理自身的帳號密碼,是使用者個人應盡的責任。但是若是發生大量的資訊洩漏,則成為企業經營法規遵循(Compliance)的問題,若處理不好將會對企業實體以及聲譽造成嚴重影響。因此不論是基於企業營利觀點,或是提供安全的網絡服務觀點,都應該採取適當的防範措施。近期在發生的「清單型」網絡攻擊有以下特徵:
-當發覺攻擊發生的時候,往往已經持續了一段時間。攻擊的檢測需要一些時間;
-受到攻擊的用戶數目往往成千上萬;
-往往會有大量不正常登入的日誌發生;
-帳號裡姓名、生日、地址等個人資料受外洩暴露。
清單型網絡攻擊
使用掃號器來進行此類「清單型」網絡攻擊的歷史事實上相當悠久。初期「掃號器」在大陸被稱之為「掃信軟體」,大概在10年前就存在同類型的掃號工具,主要是被用來掃聊天的QQ號碼。尤其是當網絡遊戲用戶的帳號密碼,被地下產業利用掛號工具(編註:協助同時登入網站的工具)或者是木馬病毒偷取後,因為這些帳號密碼大部分情況下都會被收集成一個數據庫文件檔,集中到一個電子郵箱,所以帳號密碼的集合習慣性稱之為「信」。數量大的時候,用人力手工去一條一條驗證不太實際,因此掃號器就登場了。被掛號工具/木馬病毒發過來的稱之為一手信,因為是第一手,所以有效的帳號密碼自然比較多。用掃號器掃過一次,把有效的帳號密碼裡有用的東西「洗」掉後,這些成為二手信的數據再被轉賣,在地下產業鏈裡重複被使用。在大陸當初許多的QQ號碼,都是被掃號器掃出來的。當時因為QQ號碼位數還不多,加上許多人對於特別號碼的青睞,以及有許多的用戶使用的密碼簡短容易被猜測出來。現在,掃號器被訂製為專用,QQ、CHINANET、支付寶、Battle.net、亞馬遜、eBay、Paypal , NAVER、Facebook 等,皆有專用的掃號器可以買到。國外的部分,特別是韓國的網絡遊戲,也有專用掃號器的需求。例如:Naver、Daum、Cabal 2、Joyon、Hellgate、Cyphers、Archege、World of Warcraft(大陸版)。
在出現使用SQL注入等手法,有效的從大量網站提取數據庫後,在「同一使用者即使在不同網站上,重複使用相同帳號密碼的可能性仍然極高」的前提下,開始了在網站A取得的用戶數據庫,拿來在其他網站(例如網站B上)嘗試登入的攻擊,稱之為「撞庫」。
掃號器可以依使用狀況,在「清單比對型」或者是「暴力破解型」中選擇,或者是組合兩者一起使用。掃號器的實例如圖1所示。一般花費數百人民幣,需要輸入的文件有兩個,其一為要測試的用戶清單(用戶庫),另外一個為要使用的HTTP代理伺服器一覽。可以設定測試數個用戶後即更換IP,以躲開被攻擊網站的安全檢測機制。
圖1 大陸聊天室裡販賣的掃號器 以及專門針對的網站
圖2大陸聊天室裡 販賣數據(清單)的對話
在用戶使用者的立場而言,需要嚴密安全的管理自身的密碼。避免在不同網站重複使用相同的密碼,在密碼裡面避免使用生日、名字、電話號碼等個人資訊,或者是導入密碼管理軟體以更加有效的進行管理。
日本企業網站遭受清單型網絡攻擊
根據情報處理推進機構發表的資料,自從2013年四月,日本國內有數間公司的網站持續遭受「清單型」網絡攻擊。今年2014年,也有NTTCom online Marketing Solutions Corporation公司提供的積分點數服務網站「Pontora」遭受攻擊,有323個帳戶遭受入侵。在確認攻擊後該網站停止了服務兩天,在重新開啟服務後強制用戶登入後必須更新密碼。在二月,日本航空提供的里程積點服務也是遭受同樣攻擊,有數十人的帳號被登入,用戶的里程被交換為亞馬遜點數來使用。日本航空為此針對2,700萬的用戶進行密碼變更。這個服務的登入密碼為六位數字,可能位數增加一些會比較好。
合計日本2013年內,新聞報導中即至少有27個公司提供的服務遭受此類「大量異常登入攻擊」,如以下:gooID, flets光纖會員, T-SITE, eBookJapan, My JR-EAST, mopita, dinos, 三越網購站, happinet, 阪急阪神百貨店網站, club nintendo, nissen, konami, 樂天 super point, @nifty, Jalan net, GREE, Ameba, yaplog!, WebMoney, Mobage, bandainamcoid, e+, CLUT NTT-West, EC navi, seven net, e-orico
防範對策
「清單比對型」攻擊能夠成功,關鍵在於攻擊者如何弄到這個清單。清單一般是其他網站洩漏的數據庫,或者是同一個網站許久以前被竊取的數據庫。大陸網上有販售買家專用的聊天群,販賣著各個國家網站的數據庫。因此除了網站管理方的企業應當進行SQL注入防範以外,導入雙因素認證,以及追溯用戶異常登入行為而追加的危機認證(Risk base authentication)機制,密碼輸入失敗次數計數的登入處理監看,用戶可自行確認的登入歷史一覽確認功能等,是可以檢討採取的防範措施。
日本政府相關部會對此也相當重視。主管通信行業的總務省,在2013年12月發布了由「總務省資訊安全建言委員會」討論後匯總之報告書,「如何應對針對用戶帳號密碼的清單型攻擊」,提供給網站管理員參考。其中列舉了對策措施,包括攻擊預防工作,以及遭受攻擊後防止受害擴大措施,具體如下:
1.攻擊預防工作
針對用戶進行帳號密碼不重複使用的宣導、對用戶密碼設定有效期間並強制更新、對密碼更新進行記錄、導入第二認證機制、適切保存帳號密碼、刪除長久沒有使用的帳號、禁止用戶使用過於簡單的密碼等。
2.防止受害擴大
用戶異常舉動後鎖定帳號、禁止來自有害IP的通信封包、顯示登入記錄履歷
而主管公共安全領域的日本警察廳在2014年3月公開報告,報告裡顯示了「藉由連續自動輸入功能程式的用戶登入攻擊」有80萬件之多。
總結
針對日本的掃號攻擊到現在還一直在持續著。雖然沒有指出攻擊來源,但很多的例子推測是來自中國大陸的攻擊。這是一個典型攻擊案例,先在大陸流行數年之後,轉而將目標面向海外的網絡攻擊。在大陸的網絡攻擊已經非常的先進,加上大陸特殊的網絡環境,當局只在意針對政府,共產黨的言論與網絡攻擊,而對於其他非針對政府、政黨的網絡攻擊採取睜一隻眼閉一隻眼的結果。今後更有必要留意在大陸發生流行的網絡攻擊,因為很有可能過一段時間,甚至是同一時間,一樣的攻擊會轉向大陸以外的國家。