轉載：社交攻擊再進化 電商客服人員成攻擊目標

## 轉載：社交攻擊再進化 電商客服人員成攻擊目標
資安人 編輯部 -06/28/2016
資料來源：資安人網站

2016年初爆發多起臺灣人在海外詐騙被抓的新聞之後，勢必又勾起許多人心中的痛苦記憶，即數年前一度在臺灣非常盛行電話 詐騙案。當時詐騙集團都是利用電商或電視購物公司在個資管理上的漏洞，先取得消費者購物資訊之後，再透過各種術語誘騙受害人匯款。為解決此一問題，當時在 行政院主導下，各單位都採取相關措施，其中法務部則制訂新版個人資料管理法，並且在2012年10月1日正式實施後，才迫使商業組織開始強化自身管理消費 者資料的能力，解決民眾個資被濫用的問題。

## 網路購物成趨勢 電商受攻擊比例攀升
其 實為獲取龐大商業利益，駭客組織多年來不斷透過各種管道入侵企業，除竊取高附加價值的商業機密之外，也希望能夠獲得更多消費者個資，以便透過販售給詐騙或 犯罪集團的方式，能從中取得更多經濟利益，如2013年美國連鎖百貨Target遭駭客入侵事件、2015年美國人事管理局爆發的資安事件，均導致高達上 千萬筆個資被竊取，可預期未來幾年會有詐騙行為發生。從ITRC（Identity Theft Resource Center）公布2016年全球資料外洩報告中，前五個月已共爆發454起重大資料外洩事件，整體資料洩漏數多達12,669,555筆，足以證明駭客 組織竊取個資腳步從來沒有停歇。

在行動裝置出貨量大增下，網路購物也朝向O2O（Online to Offline）虛實通路整合發展，儼然成為多數消費者生活中不可或缺的重要購物管道之一，根據資策會產支處調查結果顯示，2015 年臺灣電子商務市場產值約達到新臺幣1兆零69億元，未來幾年都會呈現平穩成長的趨勢。此種消費習慣轉變的趨勢，自然讓電商網站成為駭客主要攻擊目標，根 據刑事局科技犯罪防制中心調查分析顯示，在駭客攻擊頻率增加的趨勢下，若電商業者沒有建置完善保護機制，勢必會導致大量個資被竊取，也可能讓網站成為駭客 發動社交攻擊、散播惡意程式的溫床。

警政署刑事警察局電信偵察大隊隊長莊明雄表示，隨著B2C交易市場蓬勃發展，不少公司迎合消費者購 物習慣，都紛紛成立電子商務平臺，並且在各大入口網站購買廣告，已吸引消費者上門消費。若入口網站本身防護能力不夠完整，或製作網站廣告的業者欠缺資安知 識，原本吸引消費者點閱的廣告連結，便很可能遭到駭客組織竄改，讓民眾連上惡意網站而不自覺。其次，多數電商網站也欠缺足夠防護能力，以致於經常出現大筆 個資被竊之後，業者仍然不自覺的狀況，自然也導致各種網路詐騙行為不斷發生。

 
## 社交攻擊進化 員工受騙機率高
過 去10多年來在運用郵件夾雜惡意檔案、惡意連結，一直是駭客偏愛使用的手法攻擊，儘管市面上有不少反垃圾郵件軟體，依然無法有效阻擋此攻擊模式對企業帶來 的威脅。尤其在社交平臺蓬勃發展下，駭客組織也採用以社交主題的攻擊策略，以便能夠躲過閘道端資安設備檢查，同時誘騙消費者或員工上當，進而達成入侵公司 內部網路，伺機竊取商業機密的目的。

莊明雄指出，基本上電子郵件攻擊模式並沒有太大改變，只是現今會以臉書、Youtube等網站名義發送的案例增多，也很容易誘使消費者或員工點閱附加檔案或連結，輕鬆完成安裝後門程式、建立C&C通道等步驟，在受害者不知情的狀況下，將大量個資傳送出去。

資策會資安科技研究所林耕宇說，駭客入侵企業手法大致上可以分成2大類，前述電子郵件詐騙是屬於最常見的社交攻擊手法之一，當然也有駭客選擇直接攻破網路閘道器的外部攻擊。只不過相較之下，以社交攻擊成本最低、效果最好，也成為駭客攻擊電商業者的慣用手法。

舉例而言，駭客組織可能以購物過程遇到問題為主題，以產品有瑕疵為由發送內藏惡意連結或惡意程式的照片檔案郵件給電商客服中心，讓員工失去警戒心而開啟附加 檔案，導致電腦在無形中被植入後門程式。另外，部分員工因為本身資安意識不足，不小心點閱廣告信、或瀏覽不安全網站，而導致被駭客入侵的狀況，亦屬於社交 攻擊的一部份。

林耕宇說，社交攻擊手法會成功除肇因於員工疏忽之外，部分原因也歸咎於資安防護設定上的疏忽，多數資安人員設定防火牆等 設備時，都僅針對外部封包進行過濾與防護，導致當惡意程式順利進入公司內部網路之後，駭客便能在沒有任何阻擋下順利存取資料庫中的資料。至於外部攻擊手法 則可能會用大流量的DDoS攻擊，癱瘓閘道端資安設備的運作，最後再趁著資安防護能力薄弱當下，輕鬆達成入侵企業網路。

此外，資策會也曾發現有駭客組織利用電商平台郵件主機防護能力不足，對連續密碼測試沒有預警機制的漏洞，直接利用暴力法破解系統管理人員的帳號，所以建議資安人員應該要重視每個環節，才能將駭客入侵機率降到最低。

 
## 瞄準行動裝置漏洞 山寨APP數量暴增

看準行 動購物時代來臨，不少電商業者在原有網路購物平臺之外，也會推出相對應的購物APP，以增加電商平台的營業額，只是此新型態的購物機制，卻也成為駭客竊取 個資的溫床，其中又以Google Play平臺的問題最為嚴重。根據各家資安公司公佈研究報告顯示，市面上針對行動裝置設計的惡意程式數量，光是Android平臺的病毒數量已突破達 200萬種以上，即便是被視為較安全的iOS平臺，近來也頻頻爆發被駭客入侵的事件，顯見APP已經被駭客組織鎖定。

果核數位營運長許 武先表示，Android系統的開發語言為Java，在App完成開發後並不會將原始碼轉譯為機械碼，以致於存在可能被反編譯的風險。簡單來說，駭客組織 能夠透過逆向工程還原APP程式碼，再將惡意程式植入APP之中，並重新包裝後放上Google Play平臺供消費者下載。只要消費者不小心下載且安裝，駭客組織以便能夠從中竊取個資與控制行動裝置。

另外，多數APP設計師不熟悉 軟體安全性的問題，導致APP存在許多先天上的漏洞，自然很容易被駭客組織破解與入侵。企業若要避免發生前述狀況，建議業者在應該要在APP上架前，先委 由第三方單位進行原碼檢測，才能確保雲端應用服務的安全性。在電商平臺架構方面，身份認證主機也應該也要具備確認購物APP軟體安全與否的能力，才能在發 現軟體已被破解當下，在立即對使用者發出告警之外，並且立即中斷該次連線，以維護購物平臺環境的安全，避免淪為駭客組織散播惡意程式的溫床。

## 定時修補軟體漏洞 可大幅降低資安風險

儘 管駭客組織推陳出新的攻擊手法，是造成全球資安事件不斷發生的原因之一，尤其近來興起的APT攻擊手法，更是難以利用單一資安設備完成阻擋工作。但多數資 安專家深入研究各種資安事件後發現，導致資安事件頻頻度不斷發生的主因，在於業者沒有定期安裝修補程式，讓駭客根本不需運用太複雜手法，即可輕鬆入侵至公 司內部網路，如問世多年的SQL injection，至今仍然有許多公司沒有完成修補。

因此，電商業者在添購各種資安設備之餘，也應 該要定時更新應用主機的軟體版本、資安設備的黑白名單資料庫，才能讓資安設備發揮既有效益，減少攻擊事件發生，保護公司辛苦建立的商譽。另外，在預算有限 的狀況下，業者亦可考慮租用電信業者提供的威脅防護、資料加密、身份存取控制、滲透測試等服務，透過多種資安設備協同合作的方式，保護電商平臺的安全。
考量到部分電商業者資訊人力不足，經濟部商業司也制訂出資安基本查核表，作為業者檢視平臺的資安基礎能力之參考。當然，資安基本查核表屬非 強制性要求，而是希望透過鼓勵方式引導電商業者自主管理，取代立法之強制規範，的精神，經濟部商業司也會提供輔導、諮詢等服務，是電商業者可以利用的資源。

林耕宇說，資安基本查核表是從人員、作業、技術、設備等進行審核，EC-CERT電子商務資安服務中心會提供顧問咨詢服務，協助業者解決資安問題，以確保臺灣電商環境的安全，讓更多消費者能夠享受到網路購物帶來的便利。

莊明雄建議電商業者在資安威脅與日俱增的狀況下，除要添購或租賃相對應的資安防護設備之外，也應該要做好員工資安教育，強力要求遵循不亂下載檔案、不連結怪 異網站的政策，即能資安威脅降至最低。

當然，入侵事件發生之後，也應該要委託數位鑑識專家協助調查，找到真正入侵來源與感染流程，才能避免資安事件重複發生。