[防疫宅經濟] 抵擋駭客攻擊、保護網路交易安全

2020 / 06 / 04

安華聯網科技 (Onward Security)

從2020年2月開始，因為COVID-19疫情的影響，市場上吹起一股宅經濟旋風，人們對於電商平台與影音串流平台的使用率大幅增加。但線上交易網站或平台可能潛藏許多資訊安全問題。早在2016年，資安研究人員就曾向Uber通報安全漏洞，攻擊者能藉由暴力猜測，取得有使用次數限制且價值在五千至二萬五千美元的Uber折扣優惠碼。因此，線上交易網站從會員註冊(填寫個人資料)、登入到購買付費的過程中，若是網站存在安全弱點，便有可能遭惡意的攻擊者盜用，或是竊取個人與財務資料等重要資訊。

OWASP(The Open Web Application Security Project)是一個非營利組織，早期以研究、發佈網站應用程式安全為主，所提出的OWASP Top 10更是業界相當具參考性的指南。有些提供線上交易的系統平台，由於本身就存在弱點，像是知名電商平台Magento、Joomla套件和Wordpress套件，都曾被發現，存在著可被竊取資料庫資訊的SQL injection漏洞，而SQL injection便屬於OWASP TOP 10中，排名第一的資安風險：注入攻擊(Injection) 。

上述的Uber案例，攻擊者可透過不斷地重複猜測，取得折扣優惠碼的漏洞，便是屬於OWASP TOP 10中，排名第二的資安風險：無效的身分驗證(Broken Authentication)。網站開發人員可將認證機制改為多重認證(MFA)機制，例如在可能被攻擊的頁面新增reCAPTCHA v3的防禦機制，將絕大多數的自動化攻擊程式無效化，或是加入帳戶鎖定機制，限制在一段時間內，使用者能輸入的次數，若使用者超過此次數，則需等待一段時間後才能再次登入操作。

然而，當今網站往往宣稱使用了安全加密通道(HTTPS)，因此不會存在安全漏洞，但其實這僅僅避免OWASP TOP 10中，排名第三的資安風險：機敏資訊外洩(Sensitive Data Exposure)，透過安全加密連線，避免攻擊者中間人攻擊(Man-in-the-middle attack)、竊聽使用者的流量，取得帳號、密碼及信用卡號，但卻無法解決上述無效的身分驗證問題。除了上述實際案例與OWASP常見的攻擊手法，會導致線上交易的安全問題之外，近年來攻擊者經常使用分散式阻斷服務攻擊(Distributed Denial of Service Attack)，嘗試癱換目標網站，導致使用者無法連線到該網站，造成服務中斷與財務上的損失。在2017年初時，全台許多提供線上下單的證券商都分別收到來自駭客的勒索信件，收到恐嚇信的券商們立即向金管會報案，而在收到信的同一時段，部分券商也遭到駭客發動試探性DDoS攻擊，造成部分交易停擺。在駭客的信中表明，若不付款就會遭到後續的DDoS攻擊，在駭客的恐嚇下，有些中小型券商怕線上交易系統遭殃，就私下付款給駭客；但還是有不少證券商遭受到DDoS攻擊；因此，建立DDoS防禦與應變作業程序，並且每年辦理DDoS攻擊應變演練，才可有效降低遭受DDoS攻擊影響的時間與傷害。

安華聯網資安團隊 建議:
為保護使用者個資與線上交易網站能正常營運，線上交易網站的經營企業需定期執行滲透測試與DDoS演練，確保現行的資安防護機制能正確運作，以阻擋攻擊者的攻擊行為。

安華聯網資安團隊 服務特色:
(1) 可模擬真實駭客攻擊，能同時實際控制超過1,000台來自全球不同34個國家的主機進行DDoS攻擊，同時執行多種第四層與第七層網路攻擊手法，並且根據客戶的需求設計自定義執行時間長度、流量大小、連線數數量及封包內容，最高可達到同一時間500G到1T的流量。無論是驗證系統對於DDoS攻擊的承載程度，或者是進行使用者連線數的壓力測試。
(2) 提供客戶最完整的網站安全檢測服務，解決各種客戶所面臨到的資安需求。

安華聯網 公司簡介
安華聯網是連網產品資安合規解決方案的國際領導廠商，成立於2014年，除具備國際級的實驗室外，更自主開發自動化AI資安評估產品，擁有多國專利與國際獎項，可提供政府單位、IoT/IIoT設備商、金融、電信等產業客戶取得資安認證，並發掘潛在的資安威脅與弱點，保障重要資訊或產品安全，符合資安法規及產業標準的要求。
https://www.onwardsecurity.com/