每日平均遭10次駭客攻擊

2007.03.15 by
數位時代
每日平均遭10次駭客攻擊
時間:二月十日,凌晨一點○三分 地點:台北 近年來最大的網路犯罪大案〉,新聞網站上以斗大的粗體字下標。內文寫著:「就在過年前,台灣刑事警...

時間:二月十日,凌晨一點○三分
地點:台北
近年來最大的網路犯罪大案〉,新聞網站上以斗大的粗體字下標。內文寫著:「就在過年前,台灣刑事警察局偵九隊接獲報案,有人密告指出,兩岸的駭客集團利用網路釣魚、木馬程式等方式已經偷走台灣各大入口網站、十多家銀行、甚至人力銀行網站的個人資料,預估損失金額可能高達千萬元以上。」

凌晨一點,美蒂(編按:為保護被害人,化名處理)才把工作告一段落,在網路上瀏覽今天的新聞。
「有這麼誇張嗎?」她心想,駭客、病毒這類的倒楣事,應該是離她的世界很遠的吧。「那些人拿一般人的帳號、密碼要幹嘛?我又不是郭台銘有上億的資產。」

家中MSN、個人電腦
無端遭到入侵
美蒂不理會的將視窗移往電子郵件信箱收信。夜已深,新進郵件不多。美蒂的手指意興闌珊地敲著鍵盤,大多是垃圾郵件,正當她刪到最後一封信時,美蒂的男友突然從MSN上線,還傳來訊息。

「Heeey! I found a picture of you online, Haha weird face you got there.(我發現網路上有你的照片,你的臉好怪)」MSN對話框裡顯示上面字串,並且在訊息後附上一個連結。

美蒂猶豫了一下,在MSN視窗上打出「什麼照片?你怎麼沒和客戶去吃飯?」的字串。
經過十多秒後,不見男友回應,美蒂以為男友離開電腦邊,又耐不住自己的好奇心,正準備將滑鼠移到連結上點下時,家裡的電話鈴聲突然大響。

美蒂被這突如其來的夜半鈴聲嚇到,心想:「該不會是男友從美國打來的越洋電話吧?」

「喂!你要嚇死人唷!你不知道現在是台灣半夜凌晨一點,突然打電話來,也不先在MSN上說一聲,說什麼有我的照片,你在搞什麼神秘啊?」美蒂接起電話就破口大罵,教訓了男友一頓。

美蒂話一停,怎知電話那頭無聲。
「喂!喂!喂!」電話另一頭還是無聲。
「喂!喂!喂!你聽得到嗎?你是不是手機收訊不好啊?」電話那頭還是無聲,美蒂有點急了。
「喂!我可警告你喔,不要跟我玩這種遊戲,你很無聊耶,你再不講話,我要掛了。」
「你是吳美蒂小姐嗎?」電話那頭冒出一句話,是個男性,但絕對不是美蒂男友的聲音。
陌生男子三更半夜打電話來,並指名道姓要找她,美蒂是一陣陰冷從背脊涼到頭皮發麻。
「你是誰?」美蒂防備心倍增。
「你不用管我是誰,我只是要告訴你,你最好現在馬上把電腦關機,並且重新灌作業系統,否則後果不堪設想。」電話一端的男子聲音聽來不懷好意。

美蒂又是一陣全身發冷,連忙掛了電話坐回電腦旁邊。心慌之際點下了MSN訊息裡的那串連結,不一會功夫,美蒂就被系統強迫登出MSN視窗。

美蒂心想到底是怎樣,算了,也已經晚了,還是趕緊上床睡覺比較安穩。

她按了關機鍵,卻沒想到螢幕閃著一排字:「有其他使用者正在連線,若您現在關機,這些使用者也將被迫斷線。」美蒂這下可是從心裡毛到底了,我的電腦為什麼有別人在使用?

銀行通知檢查帳號
竟是詐騙集團設的陷阱
時間:二月十一日,上午十點三十分
地點:新竹
這兩天剛好是吳媽媽︵化名︶的小女兒作品成果發表會,她急著想要去看小女兒E-mail給她的發表會現場照片。

結果還沒看到小女兒的來信,就先看到銀行寄給吳媽媽的一封電子郵件,標題為「系統更新,請檢查帳號」。

吳媽媽趕緊把電子郵件點開,因為那兩天股市正熱,吳媽媽想趁著年關前透過網路銀行下單,抓緊時間進行股票買賣。

她點開電子郵件之後,立即看到一封銀行的公開信,信中說明年前公司系統汰舊換新,因此需要開戶的民眾連結該公司網站,重新登記之前的舊帳號與密碼。

整封信的規格與措辭,與以往印象中銀行的模式極為相似,而要求重新登錄的規格需求,也幾乎和吳媽媽往來的銀行一模一樣。

吳媽媽不覺有異,馬上按下電子郵件中的超連結,也果然連到了該銀行的網站,吳媽媽就按照電子郵件中的說明,登錄帳號、更改密碼、重新設定,一步一步操作,完成網路要求的帳號、密碼重新註冊與登記。

忙完了銀行系統登記,吳媽媽還是沒等到小女兒的來信,便點開瀏覽器去入口網站看今日新聞。

「網路銀行被駭,有民眾損失八十萬。」一則斗大的頭條出現在入口網站的新聞網頁上。吳媽媽先是心頭一驚,趕緊往下繼續看新聞,「被害人當時是因為收到一封屬名銀行的系統更改電子郵件,未經察證就按下超連結,輸入自己的帳號、密碼。」

吳媽媽覺得情況不妙,一股冷意竄上腦門,趕緊打電話向銀行求證。

結果銀行回覆吳媽媽,說他們近期並未有更換系統的舉動,也並未發出電子郵件要求民眾上網重新登記。
銀行表示,就算要重新登記也規定要本人親自前往臨櫃辦理,不可透過網路完成手續。

那麼,之前吳媽媽收到的那一封電子郵件,是怎麼一回事?

誤上練功網站
**帳號密碼遭人更改
**時間:二月十二日,下午三點五十分
地點:高雄

郝自強(化名)是位十七歲的高中學生,下課沒事愛泡網咖打線上遊戲,他的打寶功力超強,經常把打來的寶物放到拍賣網上拍賣,為此還賺得不少零用金。

不過,這一陣子因為要學測,課業壓力特別重,所以都沒有好好練功,被同班同學建銘(化名)嘲笑了半天。

「同學,最近很少看到你上線呢!我的等級都練到巫師了,你怎麼還在魔術師喔。」建銘湊近自強的耳邊。
「我專心念書,哪像你一點都不用功。」自強不服氣地說。

「唉呀!我跟你是好朋友啦,我才告訴你喔!這是秘密,你不能跟別人說,噓!」建銘一副神秘兮兮的樣子,自強則是半信半疑。「其實我的等級不是我練出來的啦,是因為我在一個地下論壇找到一個外掛的練功程式,只要電腦開著它就自動幫我練功了啦。」

「真的?假的?你偷吃步耶。」自強更不服氣了。
「是哥兒們我才告訴你耶,我晚點給你網址,你回去把外掛裝上去啦。」
自強輸人不輸陣,當然要試試外掛能力,當晚馬上就照建銘的方式把自動練功的外掛程式放上去。果然,才隔一個星期,自強的等級就直線上升。

又過了一個星期,某一天晚上自強到網咖玩線上遊戲的時候,卻發現自己的帳號、密碼進不去,試了十幾次都沒有用。自強非常緊張,急得打電話到遊戲廠商的客服部尋求解救。

一經查證,有自強登記的「john1988」這個帳號,但是密碼卻不是自強當初設的號碼,而且登入更改密碼的時間,剛好是自強白天在學校上課的時候。

是誰改了自強的帳號與密碼?是建銘嗎?不可能,那天建銘有去學校上課,自強記得那天下課後還跟建銘去打球。那到底是誰知道自強的帳號與密碼呢?

傀儡程式出擊
**估計全台三分之一電腦遭殃
**

根據國際研究機構SANS針對台灣Domain Name而發生的駭客攻擊調查顯示,從二○○○年開始就發生累計超過一萬兩千次以上的攻擊行為,這其中包含的網站從企業網站、政府網站到教育網站通通無一倖免,台灣網站平均每天的攻擊行為都在十次以上。

內專辦網路犯罪案件的刑事警察局科技犯罪防制中心主任李相臣也指出,台灣至少已有三分之一以上電腦遭植入傀儡程式,恐怕將嚴重影響電子商務之交易安全性。這當中不乏旅遊網站、人力銀行、網路銀行等電子交易網站,都遭受相關攻擊的手法,或遭潛入竊取重要帳戶資料等。

其實駭客如何取得個人資料、帳號與密碼,很多時候並不是因為擁有高深的電腦技術,而是利用人性的弱點。李相臣就指出:「經驗豐富的駭客利用社交工程的策略,幾乎沒有什麼資訊是到不了手的,因為他們能迅速建立起人與人之間的信任感。」

像是利用即時通訊軟體MSN等方式,傳送有害的超連結,誘使使用者登入潛藏有木馬程式的網路,或是電腦中毒後自動傳送惡意檔案給通訊錄中好友名單等,都是利用人性因素來取得信任,「因為會出現在MSN名單中的人,一定是你的朋友,而你相信你的朋友不會害你。」賽門鐵克資深技術顧問王岳忠表示。

除了利用人性的信任感,網路駭客更高明的是,也利用了人性的不安全感。像詐騙網路銀行帳號、密碼等案例,就是當使用者意識到自身重要資訊有異動時,會產生緊張不安,希望趕快處理完畢,因此警戒心會降低,無法以理性仔細思考,讓不法之徒有機可趁。

網路資安業者在市場分析報告中指出,目前駭客攻擊的趨勢,主要都朝向資安防護最弱的家庭用戶,加上民眾使用電腦網路時毫無警覺心,台灣已成為亞太地區傀儡程式感染度第二高的國家,僅次於中國大陸地區。
這些看似平常的網路行為,不管是好友傳送過來的連結訊息,還是莫名的電子郵件、遊戲外掛等,都可能造成使用者的電腦被駭。而網友的個人資訊、甚至銀行戶頭裡的錢,可能就在轉眼間莫名其妙地被偷走了。

TippingPoint亞太區資深業務總監葉精良就認為:「使用者很多時候就像待宰的羔羊。」網路時代來臨,不管你上不上網,都不能將網路安全威脅一事置之不理。「也許只有不開機的電腦才安全吧。」他打趣說。

不論上不上網
都可能成為下一個受害者

網路安全威脅百百種,不僅使用網路的不當行為可能導致使用者的資訊「全都露」,不法之徒也可能利用網路這項犯罪工具來進行實體世界的犯罪。

李相臣就提醒,以前駭客並不了解竊取個人資料、帳號密碼要做什麼用,但是現在駭客都知道,透過這些機密的個人隱私可以拿來進行實體犯罪。例如駭客經由分析個人資料,在進行電話詐騙時,利用所取得的家人名字和許多事實,獲得受害者的信任,詐騙成功的機率就大許多。

儘管不要隨便打開電子郵件的附件檔、不要隨便點選超連結、要定期更換密碼、要更新病毒碼、修補作業系統和瀏覽器漏洞等警告不時出現,但是多數人總覺得這麼倒楣的事不會發生在自己的身上。層出不窮的詐騙電話,反應出個人資料在詐騙集團間流竄的猖獗程度,而大部份個人資料的暴露,其實是來自資料庫的竊取和不當的上網行為。嚴謹的電腦與網路使用行為並非杞人憂天,就像門窗要上鎖般,這是現代社會裡最簡單的保身之道。 

色情類去年成長一倍 
網路色情犯罪從前年的2,713件,直線上升至去年的4,045件,除了在網路上散布或販賣猥褻圖片的色情網站,另一種犯罪模式是提供留言版給網友上網留言,找尋性伴侶,變相在網路上經營應召站。

第一類型犯罪模式的嫌犯年齡層分布較廣,警方就曾破獲一個色情網站,負責人是一名高中生。這名高中生利用課餘時間經營網站,以招募收費會員的方式,提供會員色情圖片,半年內賺了100萬元。 

遊戲類犯罪件數最多 
用以娛樂的虛擬線上遊戲是犯罪行為介入最快的,整體犯罪件數雖從前年的14,093件,下降至去年的7,932件,仍是網路犯罪主要三大類型中,犯罪件數最多的一類。

這類型犯罪有時損失不高,然而引發的現實生活糾紛與困擾,較其他兩類有過之而無不及。換句話說,以遊戲寶物竊盜為主的犯罪模式,很多狀況無法用刑法強制解決,必須網路業者、使用者共同配合,透過各方努力,才可能使犯罪率下降。 

詐欺類犯罪成長最快 
詐欺類犯罪模式最大特徵在於手法變化快速,2005年的3,867件仍以入侵為主,但不斷擴張與翻新的犯罪手法,讓網路使用者防不勝防,迄至去年,整體犯罪件數大幅增加至7,119件。

這類型手法包括惡意程式、電話詐騙、網路釣魚等,大多犯罪者都在國外,再於台灣架設網站,引誘台灣使用者。以網路釣魚為例,目前國內尚未抓到任何一位網路釣魚犯罪者,但他們獲取的銀行帳戶、密碼等個人資料,已造成使用者不小的損失。 

每日精選科技圈重要消息