駭客從攻擊中收集與整理出有用的資料是很花時間的,如果沒有把這些資料換成錢駭客也是會餓死,所以這篇文章以謀利的角度,舉一些常見的例子來說明駭客如何利用外流的資料與對應的影響。
但想不在網路上留下任何資料非常困難,所以文章最後也會提供一些防範方式與建議供大家參考。
網路上常外流的資料
先假設世界充滿惡意,拿到個人資料都是為了惡意用途,但很多狀況下不得不留下資料,最常見就是申請帳號才能使用的服務,申請帳號有一堆必填的欄位,個人資料就這樣拱手讓人。
除了個資之外,還有一些系統資訊常常在不自覺的狀況下外流,最常見的就是Google提供的廣告。當你發現網路上跳出的廣告其內容與你越來越相關,甚至在一些外文的網站看到中文廣告時,代表你的資料早已外流,大家都認識你了,而且隨著外流的資訊量越多,廣告也會越加精準。
綜上所述外流的資料可分為2大類,分別是個人資料與系統資訊,下面列出一些常外流需要注意的資料。
- 個人資料:舉凡姓名、出生日期、電話、地址、電子郵件、信用卡和身分證字號等。
- 系統資訊:IP、應用程式與版本和瀏覽資訊等。
外流後會發生什麼事?
駭客收集到越多的資訊,就能發動強度越高的攻擊,收集到個人資料中的聯絡資訊就能藉由發送廣告或詐騙來獲利,如果要入侵對方的電腦只有聯絡資訊是不夠的,需要更多的系統資訊。
資料外流的例子有非常多,根據IC3(FBI旗下的組織,美國最大的資安通報系統)提供的報告,在2020年造成金額損失最多的網路犯罪是BEC/EAC(透過電子郵件對匯款或付款資訊進行詐騙),細節可參考之前整理的另一篇文章《資安弱點會造成多大損失》。
因此這邊除了說明影響之外,也以電子郵件為例來說明資料外流後可能會發生的狀況,並且找一個真實案例的新聞,來幫助大家了解現實生活中這些事情如何發生。
類型1:廣告
不論你今天在任何網站上留下電子郵件訊息,最容易受到影響的就是開始大量收到廣告郵件,因為駭客已經將聯絡資訊賣給電商了。
實際新聞案例:《傳駭客以僅1千美金網上兜售5億筆微博用戶個資》
類型2:詐騙
接著駭客拿電子郵件到Google上面查詢,找到你留在網路上的個人訊息,駭客便會嘗試根據這些資訊設計釣魚郵件,想辦法從你手上騙錢。
實際新聞案例:《31億美元不翼而飛的慘痛教訓!企業員工郵件屢遭冒用,引發供應商匯款詐騙事件》
類型3:盜帳號(盜刷)
簡單來說當你外流的資料包含服務類型,駭客們會挑選有利可圖的服務來攻擊.
很多時候這些服務資訊是間接外流的,舉例來說如駭客找到你的電子郵件後發現你用的是Gmail,就代表著你有用Google的服務,駭客會嘗試登入你的Google帳戶,目標是刷爆你的 Google Pay。
實際新聞案例:《有不肖份子收購外洩帳密,嘗試非法登入國內多家電商網購平臺,東森5會員遭盜刷》
類型4:入侵
如果你的系統本身有弱點而且被駭客收集到這些資訊,就很可能成為入侵的對象。但更常見另外一種方式是,駭客將惡意檔偽裝成一般檔案來騙使用者點擊,像是在網站上提供下載,或者夾帶在電子郵件的附件中,執行後駭客直接就入侵到使用者的電腦,這時候駭客獲利的方式就很多樣了,常見的勒索軟體,殭屍網路,甚至是挖礦都能替駭客賺錢。
偽裝檔案這件事比想像中簡單很多,而且很容易被忽略。以下圖為例,仔細一點看可以發現這是一個名為「test_lmth.txt」的html檔案,但如果沒有特別注意當成文件檔來點擊,就直接連到駭客的網站去了。
這個檔案的真實檔名是「test_\u202Etxt.html」,但在Unicode,「\u202E」本身不會顯示之外,還會讓後方的文字會倒過來顯示,但對系統來說它是「test_txt.html」,設計這個顛倒功能的原因,是系統為了正確顯示阿拉伯語和希伯來語等從右到左的語言,但駭客卻可藉此來偽裝檔案。
實際新聞案例:《散布金融木馬IcedID、Qbot的垃圾郵件攻擊再度出現,在中國、印度等地造成災情》
不知不覺中外流的資料
有一部分外流的資料是使用者主動提供的,像前面提到的為了註冊帳號而提供資料,或者是被釣魚攻擊騙走資料,甚至是服務供應商不小心把資料外流等等,不論是哪一種使用者都至少會有一次提供資料的動作。
但有另外一部份的資料是使用者在不自覺的情況下外流出去的,因為前者主要涉及騙術而非技術,這邊會把重點放在後者的說明。
1.瀏覽網站
Request Header:
其實我們在瀏覽網頁的時候,瀏覽器早已不知不覺留下了很多資料。
以Chrome為例,這些資料需要按F12進入DevTools才能看的到,其中有一組在request header中的資料「user-agent」原本是用來讓網站知道瀏覽器的版本以提供更好的服務,但網站可以藉此推斷連線者的系統,另外一組「sec-ch-ua」也是一樣,像下圖可以明顯看出系統為windows 10,其他header依據狀況不同也會透漏各種系統資訊。
瀏覽紀錄:
部分網站除了記錄你的瀏覽資訊之外,還把這些資料送給其他網站。
以下圖為例,聯合新聞網把你看過那些新聞告訴了很多人,其中之一是廣告商Scupio酷比聯播網,這些資訊也可以在DevTools中找到。
惡意HTML/JavaScript:
有些網站本身就帶著惡意的程式碼,當使用者進入的或點擊按鍵,資料就會被攻擊者送到特定的地點。
下方的程式碼是一個比較常見於XSS攻擊的簡單例子,在點進有這段程式碼的頁面時cookie內的値就會被駭客傳送到111.222.333.444這個IP。cookie是很多網站用來識別連線者的一個欄位,如果你在登入A網站後cookie才被偷走,偷到它的人有很高的機會偽冒你的身份登入A網站。
部落格中也有數篇關於XSS的文章,有興趣可以進一步看更深入的分析。
2.收信
惡意HTML/JavaScript:
電子郵件接受跟網頁一樣的html格式,點開html格式信件的行為接近於開啟一個離線的網頁,所以電子郵件也跟網頁一樣會受到惡意HTML/JavaScript」所影響,在不經意間外流資料,但前面已經提過就不重複說明。
3.自架服務
網站:
如果有自架的網站,網站也會在你不注意的狀況下透漏相當多資訊。
以下圖為例,利用Chrome的套件Wappalyer可以很簡單知道這個網站用了哪些服務與版本,駭客透過這些外流的資料往下追,可以發現Apache 2.2.26這是一個相對舊的版本,大約是2013年發布的,有較多的弱點可以利用,這些資訊會吸引駭客進一步嘗試或攻擊。
檔案傳輸:
常見的像是自架的FTP伺服器,架完後較少維護,更少去注意資料是否外流,這些檔案傳輸伺服器駭客都找得到。光台灣就有6萬多台設備可以直接在網路上被找到,如果沒有做好設定,資料外流的機會非常高。
如何保護自己?
在這網路世界蓬勃發展的時代,如果因為怕避免資料外流而不敢在網路上留下任何資料,可以說是因噎廢食,但如何保護關鍵資料避免損失?
解決方案1:安全性設定
當Windows出現資安問題時,微軟比你還緊張,其他服務也是一樣的道理。
為了保護自家產品的安全開發商通常做了很多保護,這也是很多軟體常常會跑更新卻沒感受到新功能的主因,其實更新的是系統防護,但使用者常常不更新,甚至還為了方便把預設開啟的防護關閉,這些防護很多時候比防毒軟體還重要的多,這邊分享一些與資料外流有關的安全性設定,但確實更新也一樣重要。
瀏覽器(Chrome):
安全性與隱私權設定 > 安全瀏覽 > 強化防護
安全性與隱私權設定 > Cookie和其他網站資料 > 封鎖第三方Cookie
安全性與隱私權設定 > Cookie和其他網站資料 > 將「不追蹤」要求與瀏覽流量一併送出
電子郵件(Outlook):
信任中心設定 > 電子郵件安全性 > 以純文字讀取所有標準郵件
信任中心設定 > 自動下載 > 不自動下載標準HTML電子郵件訊息或RSS項目中的圖片
解決方案2:雙重要素驗證(2FA) / 兩步驟驗證(2SV)
網路上常見的是帳號密碼加上另外一個認證機制,像是登入時除了帳號密碼之外,還需要一組寄到手機的驗證碼,就算你帳號密碼被駭客拿到或猜到,沒有連你的手機一起偷走就沒有意義,但這類功能會增加使用者的麻煩,不是每種服務都預設有多重驗證,很多時候需要使用者主動啟用或申請,強烈建議所有與付款有關的服務都要開啟。
2FA(two-factor authentication)與2SV(two-step verification)的差異在於多出來的驗證類型是否與原本的相同。舉例來說除了原本的帳號密碼之外,某服務需要輸入身分證末4碼做為第2組密碼,但因為本質還是密碼所以只能算是2SA,如果需要額外加上的是指紋,就能算是2FA。
Google帳戶:
帳戶 > 安全性 > 兩步驟驗證
解決方案3:假帳號
目前網路上越來越多服務用電子信箱當帳號,這邊推薦一個相當好用的工具軟體來建立免洗帳號,避免收到垃圾信或者有人嘗試破解你的信箱,這個工具會隨機產生一組可以收信的電子郵件,而且會在10分鐘後永久刪除,不用擔心裡面的資料會外流。
10分鐘信箱:https://10minutemail.net/
解決方案4:防護軟體
雖然慢慢開始有些網站會在收集你的資料之前通知你,但還是很多網站偷偷收集你的資料,這邊推薦一個相當好用的Chrome套件來幫你阻止一些追蹤,其實這個工具已經在前面的範例中出現過了。
- Disconnect:圖中紅色禁止符號的部分都是已經被擋掉的追蹤,基本原理是移除網頁中一些不影響運作的回傳値。
- Shodan:這工具主要是快速檢查你外流了那些系統資訊,下圖是在Shodan的搜索結果之一與用到的指定,可以看到除了系統資訊以外連帳號都外流了。port:3389 country:"TW" os:"Windows 7 Professional"
總結
很多人在不知不覺中外流了不少資料,卻覺得不痛不癢,覺得駭客不會找上他,其實只是駭客不確定花時間攻擊你能不能得到足夠的回報,就像小偷做案前會先確認目標是不是有錢人、有沒有裝監視器或防盜等等。
防止資料外流的概念很接近現實生活中「財不漏白」的概念,刻意在路上炫富不一定會有事,但警察一定會建議你不要這樣做,除非你早就做好準備,背後跟著一堆保鑣。
個人資料中最優先保護的是與付款有關的資料(ex.信用卡),如果需要在網路上留下付款資料,最好先確認該服務有沒有支援多要素驗證,雖然多要素驗證多一個步驟使用上比較麻煩,但對駭客來說麻煩更大,多數狀況下是當麻煩到會讓駭客放棄攻擊你的程度,就代表這個防護方式是很有效的。
系統資料中最優先保護的是IP,一般用戶預設使用浮動IP所以就算外流影響也不大,因為較難靠浮動IP連到你的電腦,所以除非你已經做好保護,否則盡量避免為了自架服務而改用固定IP,讓駭客無法找上門就不用擔心門被攻破。
網站的話資料外流的方式比較多樣,除了示範的方法之外還有非常多,建議先以自動化的工具進行檢測,優先確認外流的資料是否與已知的高風險弱點有關,並修正與弱點有關的問題,如果無法立刻修正,至少想辦法把版本資訊藏起來。
前面為快速說明原理,挑了一些簡單易懂的方式來示範,實際上還有更多更進階的用法,如果閱覽數量夠多,之後會再加開一篇分享一些更進階的用法與經典案例,有任何資安方面相關的問題都歡迎留言討論,或者直接到Cymetrics尋求協助。
本文由Nick授權轉載自其Cymetrics Tech Blog
《數位時代》長期徵稿,針對時事科技議題,需要您的獨特觀點,歡迎各類專業人士來稿一起交流。投稿請寄edit@bnext.com.tw,文長至少800字,請附上個人100字內簡介,文章若採用將經編輯潤飾,如需改標會與您討論。
(觀點文章呈現多元意見,不代表《數位時代》的立場)
責任編輯:吳佩臻、侯品如
