https://www.informationsecurity.com.tw/seminar/2024_Digicentre/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

駭客全面接管銀行網域進行詐騙

2017 / 05 / 08
邱述琛
駭客全面接管銀行網域進行詐騙

攻擊的對象已從企業內部的目標延伸到企業外部的用戶
雖然此案例中遭駭客入侵的網域服務在國內並不普遍,但駭客鎖定組織外部進行攻擊的情況已越來越嚴重。三月下旬駭客網站「Zone-H」中即有超過百家的國內中小企業網站遭到入侵或是癱瘓,網站中會員個資、電子郵件、信用卡資訊若也外洩,駭客可能用來設計更為精密的魚叉式釣魚郵件進行詐騙,影響層面將更為廣泛。
在2017年4月上旬卡巴斯基資安分析師高峰會(Security Analyst Summit)中,資安研究人員揭露一件駭人聽聞的事件,一家創立於20世紀初期、在巴西、美國、阿根廷、開曼群島擁有500家分行、用戶超過500萬、資產超過250億的巴西銀行,旗下36個網域均遭駭客控制。駭客使用了複雜的手法,並提前五個月就向Let''s Encrypted憑證機構(Certificate Authority, CA)申請SSL憑證,偽冒為合法網站,誤導用戶進行詐騙。
 

                                                             圖1:駭客攻擊示意圖 (圖片來源:KPMG) 

經過分析後,發現駭客在攻擊期間,關閉了銀行的EMAIL系統,以避免銀行通知客戶與其DNS服務供應商;此外,駭客還修改原本用途為移除Rootkit的合法滲透測試工具Avenger,用來移除銀行建置的安全防護措施。由此可見,這又是一件經過精心策劃的駭客攻擊事件,更加驚人的是,根據推測,全球可能有其他的銀行也可能遭到類似的攻擊。

綜合這次的攻擊事件,駭客至少利用了魚叉式釣魚郵件、網站劫持等技術,精心部署了近半年時間,並利用網際網路使用者信賴瀏覽器具備對網域SSL憑證進行驗證的心態進行詐騙,且經過分析,駭客使用的惡意程式已模組化,其中包括銀行URL組態檔、帳號與密碼竊取、網路銀行控制、加密等模組。在在證明了駭客針對金融等高價值目標,採取長期、精密的攻擊模式進行滲透,其運用的技術也更加複雜,特別值得注意的是,攻擊的對象已從企業內部的目標延伸到企業外部的用戶,此舉更將大幅提高企業防護的困難。

數位服務轉型下防守邊界的改變

目前全球產業大多都在進行數位轉型,許多的傳統服務都以不同的方式透過網際網路連線,讓用戶透過網站或是APP在不同時間、不同地點使用。以往重兵防守企業內部的伺服器,可能已無法完全因應外在駭客威脅的快速發展。以網路釣魚郵件為例,這是駭客常用來盜取用戶帳號、密碼的方式,用戶會收到極像真的仿冒信件,錯認是原來的單位(政府機關、銀行等)所發出,並依郵件內容所附連結點擊至已事先部署惡意程式的網站去更新帳戶資訊,修改密碼。Gartner集團曾估計美國銀行因網路釣魚一年損失總額超過20億美金;FBI也統計2016年美國發生的網路犯罪損失總額10.7億美元中,商業郵件詐騙案所佔比例就高達四分之一,可見其影響之大。

因應越來越大的威脅,美國銀行界在2016年已逐步開始採用所謂”bank”頂級域名,此頂級域名限制僅有銀行業才有資格申請,更提供相符的域名,並運用網域傳送者原則架構(Sender Policy Framework, SPF)、郵件識別網域金鑰(DomainKeys Identified Mail Mail)及網域訊息驗證/回報/符合(Domain-based Message Authentication, Reporting & Conformance, DMARC)等更加安全的機制,讓".bank"使用單位擁有更健全的防護機制,也有效提高客戶的信賴並強化其網路辨識度。

免費可能要付出更多代價

今年3月SSL專家Vincent Lynch公布了一個數字,免費憑證發行機構Let''s Encrypt發行了15,270個內含PayPal字樣的憑證,當中約有96.7%被用在網釣網站。Let''s Encrypt是在2015年三季成立的憑證機構,其目的是為了解決手動建立和安裝憑證的複雜過程提供自動化流程,並為網站提供免費的SSL/TLS憑證,以推動網路的加密傳輸,但Let''s Encrypt也認為扼止惡意網站並非憑證機構的責任。

其實SSL/TLS憑證區分為網域驗證(Domain Validation, DV)、組織驗證(Organization Validation, OV)及延伸型驗證(Extended Validation, EV)三種類型,一般釣魚網站大多利用網域驗證的SSL憑證進行詐騙,不幸的是,不僅是消費者不容易發現,若是Let''s Encrypt已通過瀏覽器的信賴根目錄計畫,那麼,瀏覽器也不會提出警告。使用者看到瀏覽器出現了HTTPS的鎖頭,就認為網站是合法、安全的。

說到這邊大家大概清楚了,Let''s Encrypt認為如果網釣網站能夠申請到網域,核發SSL憑證給網域擁有者是再正常不過的,所以審查網域是不是網釣網站使用,應該是網域管理單位的責任。雖然從個別角度看上去似乎沒有問題,但在整體運作上就會產生盲點,特別是Let''s Encrypt提供免費又快速的核發方式,更擴大了影響的層面,這也造成整個信賴服務一個非常難以解決的問題,對企業或用戶都可能造成重大的影響。

組織外部的安全考量更需要關注

綜合此案例駭客運用的手法後可以發現,駭客用於攻擊的DNS、EMAIL、SSL、使用者等,都不完全在組織內部,組織也無法完全控制。但在傳統防禦思維下,均以防範組織內部為主,以EMAIL防護為例,組織大多會使用垃圾郵件偵測、防毒、惡意軟體防護等機制掃描進入組織內部的郵件,防護”組織”內部的使用者,但對於駭客在組織外部偽冒網站、郵件對用戶進行詐騙,則多未採取積極的防護措施。此外,此次攻擊事件中發現駭客使用之惡意程式已高度模組化,且發現利用修改合法PT工具進行攻擊的手法,此舉將大幅加速駭客組合或發展不同的攻擊技法,也可能突穿既有安全防護機制中對白名單的檢查,對於組織而言,可能面臨更大的風險。

KPMG預測,政府、醫療、金融等提供信賴服務的關鍵基礎設施業者,都是對駭客而言具有高度價值的攻擊對象,駭客會採取更具有耐心、更精細的複雜手法,利用適當之時機進行攻擊。針對此類情況,KPMG提出以下幾點建議:

1. 主管機關應與業者共同研議網域管理之規範,以降低駭客利用偽冒網域與免費憑證誤導民眾並進行詐騙;另可建議業者優先使用國內合法憑證機構簽發之SSL憑證。

2. 業者應將業務流程相關的外部因素(如DNS、外部用戶等)納入整體營運風險中進行評估,與相關業者合作並考量採用更為積極與全面的防護技術,以提供用戶更為安全的服務。

3. 用戶應對惡意郵件提高警覺,除了不輕易開啟不明寄件者、與自己業務無關的陌生信件外、在魚叉式社交工程郵件下,連不常使用郵件連繫的朋友或長官突然來信時都應特別注意;其次是不輕易點選郵件中之連結或開啟附檔,特別是更改帳號、密碼,務必從官網中登入執行;最後則是要注意郵件提供的警告訊息,像Gmail中若在寄件者前出現問號圖示(如圖2),則可能是偽冒郵件,千萬不要隨意開啟。

                                                          圖2:(圖片來源:CSC Digital Brand Services)

此次巴西銀行網域遭駭客接管之案例,因影響層面很廣,目前尚未有明確的損失統計,但可預期必然是天文數字。雖然此案例中遭駭客入侵的網域服務在國內並不普遍,但駭客鎖定組織外部進行攻擊的情況已越來越嚴重。三月下旬駭客網站「Zone-H」中即有超過百家的國內中小企業網站遭到入侵或是癱瘓,網站中會員個資、電子郵件、信用卡資訊若也外洩,駭客可能用來設計更為精密的魚叉式釣魚郵件進行詐騙,影響層面將更為廣泛。未來此類高技術性的駭客攻擊事件數量可能越來越多,必須靠主管機關、業者及用戶攜手合作,才可能有效防範。

本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部協理一職。