駭客進攻金融機構盜取VIP個資事件頻傳 過度自信恐是銀行受損最大元凶

(2014年10月16日,台北訊)金融機構每天協助客戶管理財富相關事宜,手握大批高資產客戶個資,要是缺乏高敏銳度警覺心,不只會造成客戶個資外洩,恐吃上官司外,未妥善保管超VIP隱私更可能將重要客戶拱手讓人。近日美國華爾街金融機構人人自危,因全球知名的摩根大通公司(JPMorgan Chase & Co.)已經證實網路系統遭到駭客入侵,導致約8300萬用戶的個資外洩,這起事件成為目前美國史上最大規模的用戶資料洩漏事件之一。芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬表示金融體系一直都是駭客集團眼中的大肥羊,但多數公司認為自己的系統安全無疑疏於警戒,恐才是造成個資外洩事件不斷的最主要原因。

杜世鵬強調,過去認為駭客入侵大多是在極短時間內高頻率攻擊單一網站或系統,這種手法尤其常見在涉及國安等級的研究機構或是有民族意識的網站,像是台灣的政府網站一年高達百萬次攻擊已是常態,更別提在敏感政治時間點,網站被駭客惡意癱瘓的事件也時有所聞,但這種高頻率的攻擊多半只是為了插旗子,粗暴到根本沒有手法可言。不過金融機構這種看似會為了保護客戶資料而加強資安系統的組織,駭客集團面對有守衛的金礦銀山,不但不會粗暴的直接破壞資安系統,反而願意拉長攻擊時間,透過各種手法,無論是釣魚網站、外部存取裝置等潛伏在公司系統,等待最佳入侵良機。

杜世鵬觀察本次駭客事件並引用外媒資料指出,其實今年6月駭客就已經開始入侵摩根大通的系統,但公司卻到7月底才發現駭客已取得內部逾90台伺服器的最高管理權限,等同於駭客化身公司最高管理階層,不只掌握客戶財務進出等敏感資訊,更完全知悉公司內部作業細節,包括獲利來源、往來資訊等,銀行卻任駭客悠遊系統長達近兩個月後才發現。其他金融體系也傳出遭同樣手法入侵,但即使FBI已要求這些金融機構清查,但仍有銀行不認為公司系統有遭受攻擊,顯見多數金融機構對於資安防護不只掉以輕心,更過度自信,認為公司防護系統足以對抗駭客,但卻忽略員工是企業受駭的途徑之一,因為BYOD的盛行,員工利用公司電腦充電、使用相同的USB存取資料、自攜上網裝置工作…等,當員工家中電腦若沒有完整的端點安全防護,即使公司設有重重關卡,也可能造成駭客藉此當跳板入侵企業的問題,提醒手握有大量敏感個資的公司與機構,即使設有資安防護系統,資安管理者應意識到要開始針對員工自有裝置與APP進行管理,才不會讓無心的內賊造成重大損失又壞了商譽。