photo by Luis Hsu

 

 

2006年10月底,包括最大拍賣網站、航空公司網站,以及近20家網路銀行全遭網路詐騙集團鎖定;同年年底,國內某壽險公司數千筆客戶資料疑遭外洩……,網路詐欺案倍數成長,擠入全台刑事案件前三名。

與4年前的手法不同的是,「他們」不再散彈打鳥,而是針對銀行帳戶、拍賣帳號等個人資料。 去年網路詐騙破案總金額高達5億元,未報案數則不計其數。

新一波網路犯罪模式,不再只限於上網民眾……但,這只是開始。

每日平均遭10次駭客攻擊 網路無人管,實體世界早遭入侵

只是上MSN,會出事?銀行傳來的更正通知是真的嗎?

根據SANS調查,台灣駭客攻擊事件平均每日超過10次。而隨著網路應用普及,就算人在家中坐,銀行戶頭、密碼也可能憑空遭竊,銀行內的錢莫名其妙遭提領一空,已不再是電影情節。

《數位時代》撰文=薛怡青

時間:二月十日,凌晨一點○三分
地點:台北
近年來最大的網路犯罪大案〉,新聞網站上以斗大的粗體字下標。內文寫著:「就在過年前,台灣刑事警察局偵九隊接獲報案,有人密告指出,兩岸的駭客集團利用網路釣魚、木馬程式等方式已經偷走台灣各大入口網站、十多家銀行、甚至人力銀行網站的個人資料,預估損失金額可能高達千萬元以上。」

凌晨一點,美蒂(編按:為保護被害人,化名處理)才把工作告一段落,在網路上瀏覽今天的新聞。

「有這麼誇張嗎?」她心想,駭客、病毒這類的倒楣事,應該是離她的世界很遠的吧。「那些人拿一般人的帳號、密碼要幹嘛?我又不是郭台銘有上億的資產。」

家中MSN、個人電腦 無端遭到入侵

美蒂不理會的將視窗移往電子郵件信箱收信。夜已深,新進郵件不多。美蒂的手指意興闌珊地敲著鍵盤,大多是垃圾郵件,正當她刪到最後一封信時,美蒂的男友突然從MSN上線,還傳來訊息。

「Heeey! I found a picture of you online, Haha weird face you got there.(我發現網路上有你的照片,你的臉好怪)」MSN對話框裡顯示上面字串,並且在訊息後附上一個連結。

美蒂猶豫了一下,在MSN視窗上打出「什麼照片?你怎麼沒和客戶去吃飯?」的字串。 經過十多秒後,不見男友回應,美蒂以為男友離開電腦邊,又耐不住自己的好奇心,正準備將滑鼠移到連結上點下時,家裡的電話鈴聲突然大響。

美蒂被這突如其來的夜半鈴聲嚇到,心想:「該不會是男友從美國打來的越洋電話吧?」 「喂!你要嚇死人唷!你不知道現在是台灣半夜凌晨一點,突然打電話來,也不先在MSN上說一聲,說什麼有我的照片,你在搞什麼神秘啊?」美蒂接起電話就破口大罵,教訓了男友一頓。

「我只是要告訴你,你最好現在馬上把電腦關機,並且重新灌作業系統,否則後果不堪設想。」電話一端的男子聲音聽來不懷好意。

美蒂又是一陣全身發冷,連忙掛了電話坐回電腦旁邊。心慌之際點下了MSN訊息裡的那串連結,不一會功夫,美蒂就被系統強迫登出MSN視窗。

美蒂心想到底是怎樣,算了,也已經晚了,還是趕緊上床睡覺比較安穩。 她按了關機鍵,卻沒想到螢幕閃著一排字:「有其他使用者正在連線,若您現在關機,這些使用者也將被迫斷線。」美蒂這下可是從心裡毛到底了,我的電腦為什麼有別人在使用?

銀行通知檢查帳號 竟是詐騙集團設的陷阱

時間:二月十一日,上午十點三十分
地點:新竹
這兩天剛好是吳媽媽(化名)的小女兒作品成果發表會,她急著想要去看小女兒E-mail給她的發表會現場照片。

結果還沒看到小女兒的來信,就先看到銀行寄給吳媽媽的一封電子郵件,標題為「系統更新,請檢查帳號」。

吳媽媽趕緊把電子郵件點開,因為那兩天股市正熱,吳媽媽想趁著年關前透過網路銀行下單,抓緊時間進行股票買賣。

她點開電子郵件之後,立即看到一封銀行的公開信,信中說明年前公司系統汰舊換新,因此需要開戶的民眾連結該公司網站,重新登記之前的舊帳號與密碼。

整封信的規格與措辭,與以往印象中銀行的模式極為相似,而要求重新登錄的規格需求,也幾乎和吳媽媽往來的銀行一模一樣。

吳媽媽不覺有異,馬上按下電子郵件中的超連結,也果然連到了該銀行的網站,吳媽媽就按照電子郵件中的說明,登錄帳號、更改密碼、重新設定,一步一步操作,完成網路要求的帳號、密碼重新註冊與登記。

忙完了銀行系統登記,吳媽媽還是沒等到小女兒的來信,便點開瀏覽器去入口網站看今日新聞。

「網路銀行被駭,有民眾損失八十萬。」一則斗大的頭條出現在入口網站的新聞網頁上。吳媽媽先是心頭一驚,趕緊往下繼續看新聞,「被害人當時是因為收到一封屬名銀行的系統更改電子郵件,未經察證就按下超連結,輸入自己的帳號、密碼。」

吳媽媽覺得情況不妙,一股冷意竄上腦門,趕緊打電話向銀行求證。 結果銀行回覆吳媽媽,說他們近期並未有更換系統的舉動,也並未發出電子郵件要求民眾上網重新登記。

銀行表示,就算要重新登記也規定要本人親自前往臨櫃辦理,不可透過網路完成手續。 那麼,之前吳媽媽收到的那一封電子郵件,是怎麼一回事?

傀儡程式出擊 估計全台三分之一電腦遭殃

根據國際研究機構SANS針對台灣Domain Name而發生的駭客攻擊調查顯示,從二○○○年開始就發生累計超過一萬兩千次以上的攻擊行為,這其中包含的網站從企業網站、政府網站到教育網站通通無一倖免,台灣網站平均每天的攻擊行為都在十次以上。

國內專辦網路犯罪案件的刑事警察局科技犯罪防制中心主任李相臣也指出,台灣至少已有三分之一以上電腦遭植入傀儡程式,恐怕將嚴重影響電子商務之交易安全性。這當中不乏旅遊網站、人力銀行、網路銀行等電子交易網站,都遭受相關攻擊的手法,或遭潛入竊取重要帳戶資料等。

其實駭客如何取得個人資料、帳號與密碼,很多時候並不是因為擁有高深的電腦技術,而是利用人性的弱點。李相臣就指出:「經驗豐富的駭客利用社交工程的策略,幾乎沒有什麼資訊是到不了手的,因為他們能迅速建立起人與人之間的信任感。」

像是利用即時通訊軟體MSN等方式,傳送有害的超連結,誘使使用者登入潛藏有木馬程式的網路,或是電腦中毒後自動傳送惡意檔案給通訊錄中好友名單等,都是利用人性因素來取得信任,「因為會出現在MSN名單中的人,一定是你的朋友,而你相信你的朋友不會害你。」賽門鐵克資深技術顧問王岳忠表示。

除了利用人性的信任感,網路駭客更高明的是,也利用了人性的不安全感。像詐騙網路銀行帳號、密碼等案例,就是當使用者意識到自身重要資訊有異動時,會產生緊張不安,希望趕快處理完畢,因此警戒心會降低,無法以理性仔細思考,讓不法之徒有機可趁。

網路資安業者在市場分析報告中指出,目前駭客攻擊的趨勢,主要都朝向資安防護最弱的家庭用戶,加上民眾使用電腦網路時毫無警覺心,台灣已成為亞太地區傀儡程式感染度第二高的國家,僅次於中國大陸地區。

這些看似平常的網路行為,不管是好友傳送過來的連結訊息,還是莫名的電子郵件、遊戲外掛等,都可能造成使用者的電腦被駭。而網友的個人資訊、甚至銀行戶頭裡的錢,可能就在轉眼間莫名其妙地被偷走了。

TippingPoint亞太區資深業務總監葉精良就認為:「使用者很多時候就像待宰的羔羊。」網路時代來臨,不管你上不上網,都不能將網路安全威脅一事置之不理。「也許只有不開機的電腦才安全吧。」他打趣說。

不論上不上網 都可能成為下一個受害者

網路安全威脅百百種,不僅使用網路的不當行為可能導致使用者的資訊「全都露」,不法之徒也可能利用網路這項犯罪工具來進行實體世界的犯罪。

李相臣就提醒,以前駭客並不了解竊取個人資料、帳號密碼要做什麼用,但是現在駭客都知道,透過這些機密的個人隱私可以拿來進行實體犯罪。例如駭客經由分析個人資料,在進行電話詐騙時,利用所取得的家人名字和許多事實,獲得受害者的信任,詐騙成功的機率就大許多。

儘管不要隨便打開電子郵件的附件檔、不要隨便點選超連結、要定期更換密碼、要更新病毒碼、修補作業系統和瀏覽器漏洞等警告不時出現,但是多數人總覺得這麼倒楣的事不會發生在自己的身上。層出不窮的詐騙電話,反應出個人資料在詐騙集團間流竄的猖獗程度,而大部份個人資料的暴露,其實是來自資料庫的竊取和不當的上網行為。嚴謹的電腦與網路使用行為並非杞人憂天,就像門窗要上鎖般,這是現代社會裡最簡單的保身之道。

from 3月1日出刊《數位時代》

arrow
arrow
    全站熱搜

    luishsu 發表在 痞客邦 留言(0) 人氣()