網路攻擊技術翻新 中小企業應加強防護以降低風險與成本

近年台灣資安事件層出不窮,造成國民個資外洩、電子商務及金融業營運損失、企業面臨駭客攻擊,更對國土安全形成威脅。為加強台灣中小企業防範資安攻擊事件,經濟部工業局委託工業技術研究院執行「資通訊安全產業推動計畫」,針對台灣資安事件與需求進行調查,並歸納出十大國內資安事件,分析常見資安事件與案例,呼籲企業與個人提升危安意識,並提供資安解決方案,協助企業強化資安防護解決方案,將風險與成本降到最低。

隨著科技的演變及企業營運模式的改變,資安防護的複雜度也日益增加,導致企業必須投入更多資源在建置資通訊安全,以確保公司機密資料不外洩並維持企業商譽。因此,資安逐漸被列為企業營運重要規劃的一環。然而根據資通訊安全產業推動計畫研究發現,2013年臺灣企業基於資安預算有限,會考量集中投資在優先度評估較高的部份資安方案,但也形成缺少全面性資安防護的窘境,使公司暴露於潛在風險之中,不只使資安事件發生的頻率日益上升,損失金額更是倍增。根據美國網路犯罪申訴中心( Internet Crime Complaint Center,IC3)公布「2013年網路詐騙活動報告」,IC3 所收到的網路詐騙申訴案件自2005年起的23.1萬筆成長到2013年的26.2萬筆,損失金額更從1.8 億美元成長到7.8億美元。

資通訊安全產業推動計畫主持人黃維中指出:「中小企業應重視投資資安解決方案,台灣有許多優秀的業者提供符合成本效益的資安服務,協助中小企業針對惡意攻擊進行事前預防、事中因應與事後處理。企業應將資安與企業獲利並列為重要營運目標,將資安視為保護公司重要資產的必備工具,才是有效降低風險與避免付出更高代價的最佳方法。」

經濟部工業局資通訊安全產業推動計畫列出十大常見資安事件與案例,做為中小企業借鏡,期望中小企業能以更積極謹慎的態度面對資安威脅。此外,經濟部工業局資通訊安全產業推動計畫為了協助中小企業縮短資安規劃時程,也推薦台灣優良資安解決方案廠商,與資安廠商資料,期望能使中小企業強化資安體質,提高商業競爭力。

  1. 資料外洩–經由內部或外部不適當或未經授權之方式,存取、使用或修改資料,並且會直接或間接地對持有該資料的組織、企業或個人,造成有形與無形負面影響之事件。案例:2013年2月,台灣Nokia的5個委外行銷網站遭駭,17萬筆個資被公開,150萬筆存有風險。
  2. 進階持續性威脅(Advanced Persistent Threat,APT)攻擊事件–駭客以組織性行動並出於經濟利益或競爭優勢,以超過目標防護能力並具有複雜和多樣性的手法,針對單一企業或機關進行客製化且持續性的攻擊。

    案例:國際駭客組織以微軟RTF程式漏洞,針對台灣企業及政府單位發送夾帶後門的熱門議題(如服貿)電子郵件,以竊取目標機密資料。

  3. 分散式阻斷服務(Distributed Denial-of-Service Attacks,DDoS)攻擊–駭客藉由分散的攻擊方式,聯合網路上能發動阻斷服務(DoS)的複數主機同時發動攻擊,佔用或耗光目標對象主機或系統的資源或服務,讓系統的可用性降低,導致一般使用者無法正常使用系統或主機所提供的服務。

    案例:2013年5月,台菲漁船槍擊事件引發台菲鍵盤戰爭,台灣遭菲律賓駭客以DDoS攻擊後反擊,台灣在此事件中包含總統府、外交部、國防部、海巡署等網站皆遭到DDoS攻擊,也有部份台灣民營網站癱瘓。

  4. 資料庫遭駭–企業或組織存放營運所需資料的資料庫,遭內部或外部不適當或未經授權之方式存取、使用或修改,造成被駭對象有形與無形負面影響。

    案例:2013年5月19日,台灣Groupon網站資料庫遭攻擊,台灣會員數約380萬,其中估計有一成會員的電子信箱帳號及密碼可能被盜。

  5. 社交工程郵件詐騙–利用民衆疏於防範的心理,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式,從合法用戶中套取用戶系統的秘密。

    案例:2013年5月,駭客假冒健保局名義,以二代健保為誘餌,寄發社交工程郵件給中小企業。刑事局於5月27日宣布偵破,以妨害電腦使用罪將嫌犯移送法辦。

  6. 手機或即時通訊息詐騙–針對智慧型手機或平板等智慧型行動裝置植入病毒、木馬等惡意程式;或透過傳送詐騙訊息以存取、複製、刪除行動裝置中的個人資料、帳號密碼;或取得系統權限寄送用戶不知情的付費簡報或撥打高額付費電話;或透過傳送位置、開啟裝置鏡頭攝錄、降低裝置執行效能,或直接竊取目標裝置等,甚至用戶本身遺失裝置,也都屬於此事件的手法。此類事件多造成用戶資料外洩、財務損失、裝置癱瘓或遺失遭竊等。

    案例:2014年4月,因為露天拍賣網設立帳號認證機制,並提供0809認證電話,卻反而被歹徒用來結合LINE詐騙,把不知情的民眾當成網拍賣家人頭,被害人等到警方找上門,或者被買家”追殺”,才發現自己不小心成了詐騙集團共犯。

  7. 惡意程式威脅–所謂惡意程式威脅事件,泛指有心人士刻意撰寫具備惡意企圖的程碼,包含電腦病毒、蠕蟲、木馬、間諜軟體、廣告軟體等種類,造成的影響如破壞系統正常運作、耗盡電腦資料、修改或破壞系統設定、複製或刪除檔案、讓系統當機、竄改程式資料、監控電腦活動等隱私侵害、散佈廣告等。

    案例:2012年4月,出現針對Mac電腦的Flashback木馬程式變種,經由Mac OS X系統的Java漏洞感染,主要目的為竊取個人資料,全球有60萬台Mac電腦感染。

  8. 網站(頁)遭駭–網站被植入惡意程式、或被癱瘓無法正常運作、或原本頁面被置換成其他頁面、或網站被藏入導向至特定頁面。

    案例:2013年7月,蘋果電腦(Apple)之擁有600萬會員數的開發者網站遭到入侵,導致部分會員的個資可能外洩。

  9. 身分帳密遭盜用–惡意人士透過如惡意程式、社交工程、網站系統漏洞等方式,取得目標對象之帳號密碼的事件。

    案例:2013年10月,軟體業者奧多比(Adobe)在部落格中坦承公司系統遭駭客攻擊,駭客除了取得部分用戶資訊,包含使用者帳戶密碼、姓名、信用卡號碼等重要資訊,也取得Acrobat、ColdFusion等部分Adobe產品的原始碼,個資可能外洩的用戶達290萬。

  10. USB威脅事件–透過藏有惡意程式之USB隨身碟感染目標企業、組織或人員的電腦或裝置,進一步入侵目標對象之系統並竊取機密資料、癱瘓系統。

    案例:某位員工利用傳輸線將手機連上PC的USB port充電,導致原先潛伏在手機裡的惡意程式(DroidCleaner),將惡意檔案傳送到公司的PC設備上。

資安事件層出不窮,國內資安業者亦提供了各種因應的產品及解決方案,企業及民眾可至資通訊安全產業計畫網站 http://wwww.isecurity.org.tw 查詢。