在數位轉型與 AI 浪潮下,資訊安全已成為企業營運不可忽視的隱形殺手。近年來,台灣企業頻頻傳出遭勒索軟體入侵,導致營運中斷、聲譽受損。為什麼台灣產業特別容易被駭客盯上?當數百萬美金的勒索信出現在螢幕上時,企業該如何應對?
銓鍇國際創辦人何鴻汶曾處理超過 30 件勒索軟體案件,甚至具備代表客戶與駭客集團面對面談判的驚險經驗。透過他的第一線視角,解析台灣製造業的資安弱點,並揭開神祕的「資安談判」面紗,協助企業在險象環生的資安戰場中找尋生路。
以下 Q 為《數位時代》總編輯王志仁提問,A 為銓鍇國際創辦人何鴻汶回答。
Q1:台灣的勒索軟體攻擊成長率為何高於全球平均?台灣企業又因為哪些習慣與特性,特別容易成為攻擊肥羊?
A:根據統計,全球勒索攻擊每年的成長幅度大約在 15% 到 25% 之間,但台灣的數字比這個比率還要更高。我們常說台灣是一個「試驗場」——各國駭客都喜歡拿台灣來測試手法,確認有效之後再向外擴散。
為什麼台灣特別容易被盯上?我觀察到兩個關鍵原因。
第一是台灣企業喜歡「拼裝系統」。 國外企業傾向採購 IBM 或 HP 這種端對端(End to End)的整套解決方案,但台灣企業基於成本考量,可能前端用一台高規格的路由器,系統層用本地小廠的套裝軟體,CRM 再接一套台製系統——三個來源不同的系統拼在一起,防禦架構自然漏洞百出。打個比方,就好像去高級餐廳,你不點主廚套餐,改成單點——前菜挑一道、主菜挑一道、甜點省掉,每道菜各有各的邏輯,整體體驗就難以保證完整。
第二是開源軟體(open source)的使用風險。 很多台灣企業為了避免被單一廠商綁架,大量採用開源軟體,自己刻、自己開發。開源軟體的原始碼是公開的,駭客可以直接研究漏洞;更危險的是,開源套件下載下來時,可能早已被人植入惡意程式——你寫程式的能力再強,後門已經在你不知情的情況下被打開了。加上台灣本地開發的系統,在符合資安高規格方面,整體上仍落後國外一段距離,這讓駭客在台灣找到一個漏洞,幾乎等於在大量採用同一套系統的台灣企業中,同時找到了相同的破口。
Q2:台灣哪些產業被駭客鎖定的比例最高?勒索金額的行情通常落在哪裡?
A:這一兩年來,製造業是異常高風險的產業。在三到五年前,電商是主要目標,那一波攻擊之後,電商業者大多已更新防禦;現在製造業才是高峰期。
製造業之所以特別吸引駭客,有幾個原因。第一,製造業 IT 人員比例偏低,他們最優先的目標是確保機器正常運轉,不敢隨便更新系統,因為一更新可能造成停機或產生新的 bug。第二,製造業一旦停工,損失極為驚人。一個工廠停工一天,可能就是數千萬到數億元的代價。駭客看準這個心理,知道你拖不起,所以勒索金額也愈開愈高。
金額方面,以我們處理過的三十多件案子來看,駭客開價通常一開始就高於 80 萬美元(約新台幣 2,561 萬元),甚至到 200 到 250 萬美元(約新台幣 6,402 萬至 8,003 萬元)之間。我們曾遇過一個製造業案例,對方一開口就要 20 顆比特幣(以比特幣均價 8 萬美元計算,大約是 160 萬美元)。整體行情大致落在 50 萬到 250 萬美元(約新台幣 1,601 萬至 8,003 萬元)之間,端看受害企業的規模與資料的重要性而定。若駭客進去之後發現資料價值不高,可能只開 5、60 萬美元;但只要你有 ERP、CRM、客戶資料庫,幾乎一定是百萬美元起跳。
Q3:資安危機發生的第一時間,企業往往陷入混亂。為何報警通常不是首選?
A:企業遇駭後不敢報警,通常有三個現實原因:第一是調查緩慢,對分秒必爭的工廠復工沒有直接幫助;第二是台灣在國際司法互助上的限制,即便追查到海外 IP,實質抓捕難度極高;第三是客戶的信任危機,若客戶的專利圖紙、客製化 CPU 參數外洩,會導致供應鏈信任瓦解、甚至轉單。駭客抓準企業不敢張揚的心態,精準鎖定這些具備高支付能力的大廠出手。
Q4:在你的實戰經驗中,勒索軟體最常見的入侵路徑有哪些?
A:最常見的入侵路徑有三條。
第一是釣魚信件。 這是所有詐騙的源頭,也是最難防堵的,因為它每天都在變換手法。駭客可以把網址中的某個英文字母改成數字零,讓員工乍看之下難以分辨,點進去之後頁面、帳號、發票都跟真的一樣,就這樣付了不該付的錢。我們也曾遇過駭客利用 AI 深偽技術,偽造外國老闆的臉孔與聲音,發送影片要求台灣團隊緊急匯款。所幸對方夠謹慎,打電話回美國確認,才發現老闆根本沒寄過這支影片。
第二是來路不明的 PDF。 網路上有許多免費的 PDF 轉檔或解碼工具,在處理的過程中,惡意程式已悄悄被植入你的檔案,再帶回電腦時後門就開了。
第三是免費 VPN。 很多人為了翻牆或繞過地區版權限制,下載免費 VPN,殊不知使用之後所有流量都流經對方的伺服器,等同於把整個網路行為完全暴露給對方,中獎機率極高。
這三條路徑有個共同特點:都是從企業「內部的人」開始的。要從外部直接硬攻一家有完整防火牆的企業,難度相當高;但只要讓一個員工不小心開了一封信、下載了一個檔案,後門就開了。
Q5:企業收到勒索通知後,你們會怎麼介入處理?與駭客的談判會如何進行?
A:通常客戶來找我們,是因為他們自己已經解不開了。我們進場之後,第一步是盤點,釐清哪些系統是最關鍵、不可外洩或不可遺失的。在一天之內完成幾大系統的清點,判斷現況有多嚴重,並確認是否有不正常的對外連線或遠端存取行為。
接著進入解密程序。我們手上累積了三十支到七十支不等的解密金鑰,會逐一嘗試比對。如果某支金鑰成功解開,就立刻優先還原最重要的資料。若手上的金鑰全部無法解開,我們會嘗試從備份還原,但成功率大約只有三成。原因在於駭客通常潛伏 30 天到 120 天才發動攻擊,而企業的備份週期多半只有 90 天,且一旦駭客進入 Windows 系統,發現連接的 NAS 儲存裝置,也會一併加密。
當備份也無法使用時,最後一步就是談判。談判通常會遠端透過 Telegram 進行,我們會採取「胡蘿蔔加棒子」的策略:一方面向駭客展示我們已自行解出部分資料,降低他們手中資料的籌碼;另一方面告訴對方,工廠已有備援系統啟動,你手上的資料對我們的時效性正在縮短——這純粹是心理戰。
我曾親自飛到香港中環一家咖啡廳面交。對方是個年輕人,帶著一台簡易電腦。談判過程中我們才發現,這個人只是「車手」,電腦畫面是由遠端的駭客集團老闆操控,而他只是到場的代理人,就像詐騙集團到 ATM 取款的那個人,就算被抓,犯罪集團也早已切割乾淨。那個案子最後從 15 顆比特幣(約 3,162 萬新台幣),談到 0.7 顆比特幣(約 147 萬新台幣)成交,對方開了一個類似 Google Drive 的臨時空間,給我們 24 小時下載資料,時間一到連結消失,什麼都不剩。面交地點通常選在澳門、香港或胡志明市,這些都是與台灣沒有司法互助或引渡條約的地方,就算你親眼看到對方,也拿他沒有辦法。
Q6:「資安談判專家」的背景令人好奇,這類稀缺人才是如何招募與培養的?
A:坦白說,這類人才在台灣目前非常非常稀缺。我們公司內部有一到兩位,其他則仰賴長期配合的外部夥伴。談判專家與技術專家是分工的——技術端負責系統盤點、解密與重建;談判端的使命就是把金額壓到最低、拿回最關鍵的資料。這樣的人才,你在 104 或 LinkedIn 上是找不到的。招募管道大概有幾個方向。
第一是白帽駭客社群,尤其是從黑帽轉型的。有些人曾經在勒索集團內部待過,後來「漂白」出來自己做談判顧問。正因為他們了解集團的運作邏輯、知道對方手上的籌碼是什麼,一旦點名幾個市場上已知的勒索集團,對方馬上就知道你不是泛泛之輩,談判難度瞬間降低。
第二是刑事體系出身的人才。刑事局偵九隊過去處理過大考中心資料遭篡改等重大資安事件,其中確實有轉型為民間白帽駭客的人才,這是另一個可以尋找的管道。
第三是教學單位。資安領域的授課老師,往往不只是單純的老師,他們有廣泛的學生人脈與業界連結,透過這個網絡可以找到真正有實戰能力的人。
第四是 Telegram 社群。這個管道需要一定的辨識能力。裡面確實有真正能解決問題的高手,但通常是遠端合作,不會實際現身,靠的是長期建立起來的互信關係。具備強大邏輯的人才也是招募的對象之一,例如我們的合作夥伴中,就有台大辯論社出身的成員,他們能透過文字與語言將駭客纏到講不過他,逼使對方降價。
Q7:面對無所不在的勒索威脅,中招之後,企業最常出現哪些錯誤反應?付錢與不付錢,結局有什麼差別?
A:第一,發現中招就立刻關機。關機會讓儲存在記憶體中的暫存 log (活動紀錄)全部消失,反而讓後續鑑識更難追查。正確做法是先拔掉網路線,讓系統斷線但保持開機狀態。
第二,急著把重要資料拉出來。有些駭客會特別設計陷阱:故意讓你進得去、拿得到前面 100 筆資料,等你開始行動之後,他立刻把剩下的全部鎖死。因為你一連線到儲存裝置準備搬資料,他就透過這個連線順勢把儲存裝置也加密了。
第三,急著把感染機器格式化。這個動作等於把駭客入侵的所有痕跡全部抹掉,讓後續鑑識完全看不到入侵路徑,也讓警方無從調查。
至於要不要付錢,我們一定先問客戶這個問題,因為這決定了完全不同的處理方向。
不付錢的客戶,通常是有充足底氣的:要麼有磁帶機做異地冷備份(備份完硬碟就不連網,駭客無法入侵),要麼被鎖住的資料本身對公司影響不大,不涉及客戶資料或設計圖檔。這類客戶會請我們查清楚入侵路徑、補強漏洞,態度非常強硬。
付錢的客戶,往往是搞不清楚自己系統狀況的企業,比如 IT 主管換了好幾代,沒人知道備份存在哪裡,只想最快速度恢復營運,付錢了事。但我要鄭重提醒:只要付過一次錢,你就進了駭客的「優質客戶名單」。我們曾遇過一家企業在半年內被同一個集團勒索了七次,每次鎖住不同的系統,像是人資系統、財務系統、電子發票系統等輪流出事,因為駭客一開始就掌握你所有的系統清單,只是分批來要錢而已。
Q8:除了製造業,哪些產業接下來需要特別警戒?企業平時應該建立哪些防護機制?
A: 我認為台灣接下來最需要嚴陣以待的三個產業是:製造業、半導體業,以及醫療業。
半導體業方面,我們確實處理過相關案例——某家晶圓下游廠商的一條生產線遭到加密,整條線完全停擺,裡面還涉及客戶的晶圓設計參數。更值得注意的是,我們在台灣半導體產業的案例中,看過俄文、英文、韓文、中文等多種語言的攻擊——全世界真的都把台灣當作靶場在訓練。
醫療業是我特別擔心的。台灣醫療體系正在逐步數位化、引入 AI,但過去以封閉系統保護病人資料的慣性,讓很多院所忽略了醫療設備本身的資安防護。設備上的參數與運作資料,反而成了新的漏洞所在。
金融業相對安全,原因是第一銀行 ATM 盜領事件之後,金管會大幅強化了對銀行舊系統升級的要求。加上金融業有嚴格的監管機制,例如超過一定金額的轉帳就會自動觸發警示,使得駭客從金融業直接獲利的難度遠高於其他產業。這說明了一件事:高度監管有時候反而是保護。
關於防護建議,我歸納出幾個核心做法:
- 定期更新作業系統,若系統已無法更新,就必須在外層建立更高強度的防火牆。
- 第二,強制啟用多因素驗證(MFA)——光靠密碼已經不夠,帳號密碼一旦被竊,駭客可以偽裝成你登入;加上手機動態驗證碼之後,難度就大幅提升。
- 第三,備份策略要做到「冷備份」,備份完成後硬碟立刻離線、不連網,才能真正隔絕駭客的觸手。
- 第四,也是最根本的——持續對員工進行教育訓練,尤其針對釣魚信件、不明 PDF 與免費 VPN 的識別能力。資安最大的漏洞,永遠是人。
收聽完整 Podcast|EP277. 台廠為何成為勒索軟件眼中肥羊?要降低風險止損該做哪些事? ft.銓鍇國際創辦人何鴻汶
