觀點

社交攻擊再進化 電商客服人員成攻擊目標 (下)

2016 / 07 / 04
編輯部
社交攻擊再進化 電商客服人員成攻擊目標 (下)

上回分享網路購物成趨勢,電商受攻擊比例攀升外,也提及社交攻擊進化,員工受騙機率高。
接下來將續談,行動裝置漏洞,山寨APP數量暴增外,同時提出降低資安風險的方法。

瞄準行動裝置漏洞 山寨APP數量暴增

看準行動購物時代來臨,不少電商業者在原有網路購物平臺之外,也會推出相對應的購物APP,以增加電商平台的營業額,只是此新型態的購物機制,卻也成為駭客竊取個資的溫床,其中又以Google Play平臺的問題最為嚴重。根據各家資安公司公佈研究報告顯示,市面上針對行動裝置設計的惡意程式數量,光是Android平臺的病毒數量已突破達200萬種以上,即便是被視為較安全的iOS平臺,近來也頻頻爆發被駭客入侵的事件,顯見APP已經被駭客組織鎖定。

果核數位營運長許武先表示,Android系統的開發語言為Java,在App完成開發後並不會將原始碼轉譯為機械碼,以致於存在可能被反編譯的風險。簡單來說,駭客組織能夠透過逆向工程還原APP程式碼,再將惡意程式植入APP之中,並重新包裝後放上Google Play平臺供消費者下載。只要消費者不小心下載且安裝,駭客組織以便能夠從中竊取個資與控制行動裝置。

另外,多數APP設計師不熟悉軟體安全性的問題,導致APP存在許多先天上的漏洞,自然很容易被駭客組織破解與入侵。企業若要避免發生前述狀況,建議業者在應該要在APP上架前,先委由第三方單位進行原碼檢測,才能確保雲端應用服務的安全性。在電商平臺架構方面,身份認證主機也應該也要具備確認購物APP軟體安全與否的能力,才能在發現軟體已被破解當下,在立即對使用者發出告警之外,並且立即中斷該次連線,以維護購物平臺環境的安全,避免淪為駭客組織散播惡意程式的溫床。

定時修補軟體漏洞 可大幅降低資安風險

儘管駭客組織推陳出新的攻擊手法,是造成全球資安事件不斷發生的原因之一,尤其近來興起的APT攻擊手法,更是難以利用單一資安設備完成阻擋工作。但多數資安專家深入研究各種資安事件後發現,導致資安事件頻頻度不斷發生的主因,在於業者沒有定期安裝修補程式,讓駭客根本不需運用太複雜手法,即可輕鬆入侵至公司內部網路,如問世多年的SQL injection,至今仍然有許多公司沒有完成修補。

因此,電商業者在添購各種資安設備之餘,也應該要定時更新應用主機的軟體版本、資安設備的黑白名單資料庫,才能讓資安設備發揮既有效益,減少攻擊事件發生,保護公司辛苦建立的商譽。另外,在預算有限的狀況下,業者亦可考慮租用電信業者提供的威脅防護、資料加密、身份存取控制、滲透測試等服務,透過多種資安設備協同合作的方式,保護電商平臺的安全。

考量到部分電商業者資訊人力不足,經濟部商業司也制訂出資安基本查核表(圖一),作為業者檢視平臺的資安基礎能力之參考。當然,資安基本查核表屬非強制性要求,而是希望透過鼓勵方式引導電商業者自主管理,取代立法之強制規範,的精神,經濟部商業司也會提供輔導、諮詢等服務,是電商業者可以利用的資源。

林耕宇說,資安基本查核表是從人員、作業、技術、設備等進行審核,EC-CERT電子商務資安服務中心會提供顧問咨詢服務,協助業者解決資安問題,以確保臺灣電商環境的安全,讓更多消費者能夠享受到網路購物帶來的便利。

莊明雄建議電商業者在資安威脅與日俱增的狀況下,除要添購或租賃相對應的資安防護設備之外,也應該要做好員工資安教育,強力要求遵循不亂下載檔案、不連結怪異網站的政策,即能資安威脅降至最低。當然,入侵事件發生之後,也應該要委託數位鑑識專家協助調查,找到真正入侵來源與感染流程,才能避免資安事件重複發生。


(圖一)資安基本查核表

*詳細的檔案網站歡迎自行下載:
中華民國無店面零售商業同業公會 http://cnra.org.tw/
EC-CERT電子商務資安服務中心 http://ec-cert.org.tw/