近年臺灣資安事件層出不窮,造成國民個(gè)資外泄、電子商務(wù)及金融業(yè)營(yíng)運損失、企業(yè)面臨駭客攻擊,更對國土安全形成威脅。為加強臺灣中小企業(yè)防范資安攻擊事件,經(jīng)濟部工業(yè)局委托工業(yè)技術(shù)研究院執行「資通訊安全產(chǎn)業(yè)推動(dòng)計劃」,針對臺灣資安事件與需求進(jìn)行調查,并歸納出十大國內資安事件,分析常見(jiàn)資安事件與案例,呼吁企業(yè)與個(gè)人提升危安意識,并提供資安解決方案,協(xié)助企業(yè)強化資安防護解決方案,將風(fēng)險與成本降到最低。
隨著(zhù)科技的演變及企業(yè)營(yíng)運模式的改變,資安防護的復雜度也日益增加,導致企業(yè)必須投入更多資源在建置資通訊安全,以確保公司機密資料不外泄并維持企業(yè)商譽(yù)。因此,資安逐漸被列為企業(yè)營(yíng)運重要規劃的一環(huán)。然而根據資安通訊安全產(chǎn)業(yè)推動(dòng)計劃研究發(fā)現,2013年臺灣企業(yè)基于資安預算有限,會(huì )考量集中投資在優(yōu)先度評估較高的部份資安方案,但也形成缺少全面性資安防護的窘境,使公司暴露于潛在風(fēng)險之中,不只使資安事件發(fā)生的頻率日益上升,損失金額更是倍增。根據美國網(wǎng)絡(luò )犯罪申訴中心( Internet Crime Complaint Center,IC3)公布「2013年網(wǎng)絡(luò )詐騙活動(dòng)報告」,IC3 所收到的網(wǎng)絡(luò )詐騙申訴案件自2005年起的23.1萬(wàn)筆成長(cháng)到2013年的26.2萬(wàn)筆,損失金額更從1.8 億美元成長(cháng)到7.8億美元。
資通訊安全產(chǎn)業(yè)推動(dòng)計劃主持人黃維中指出:「中小企業(yè)應重視投資資安解決方案,臺灣有許多優(yōu)秀的業(yè)者提供符合成本效益的資安服務(wù),協(xié)助中小企業(yè)針對惡意攻擊進(jìn)行事前預防、事中因應與事后處理。企業(yè)應將資安與企業(yè)獲利并列為重要營(yíng)運目標,將資安視為保護公司重要資產(chǎn)的必備工具,才是有效降低風(fēng)險與避免付出更高代價(jià)的最佳方法。」
經(jīng)濟部工業(yè)局資通訊安全產(chǎn)業(yè)推動(dòng)計劃列出十大常見(jiàn)資安事件與案例,做為中小企業(yè)借鑒,期望中小企業(yè)能以更積極謹慎的態(tài)度面對資安威脅。此外,經(jīng)濟部工業(yè)局資通訊安全產(chǎn)業(yè)推動(dòng)計劃為了協(xié)助中小企業(yè)縮短資安規劃時(shí)程,也推薦臺灣優(yōu)良資安解決方案廠(chǎng)商,與資安廠(chǎng)商資料,期望能使中小企業(yè)強化資安體質(zhì),提高商業(yè)競爭力。
1. 資料外泄--經(jīng)由內部或外部不適當或未經(jīng)授權之方式,存取、使用或修改資料,并且會(huì )直接或間接地對持有該資料的組織、企業(yè)或個(gè)人,造成有形與無(wú)形負面影響之事件。
案例:2013年2月,臺灣Nokia的5個(gè)委外行銷(xiāo)網(wǎng)站遭駭,17萬(wàn)筆個(gè)資被公開(kāi),150萬(wàn)筆存有風(fēng)險。
2. 進(jìn)階持續性威脅(Advanced Persistent Threat,APT)攻擊事件--駭客以組織性移動(dòng)并出于經(jīng)濟利益或競爭優(yōu)勢,以超過(guò)目標防護能力并具有復雜和多樣性的手法,針對單一企業(yè)或機關(guān)進(jìn)行客制化且持續性的攻擊。
案例:國際駭客組織以微軟RTF程式漏洞,針對臺灣企業(yè)及政府單位發(fā)送夾帶后門(mén)的熱門(mén)議題(如服貿)電子郵件,以竊取目標機密資料。
3. 分散式阻斷服務(wù)(Distributed Denial-of-Service Attacks,DDoS)攻擊--駭客借由分散的攻擊方式,聯(lián)合網(wǎng)絡(luò )上能發(fā)動(dòng)阻斷服務(wù)(DoS)的復數主機同時(shí)發(fā)動(dòng)攻擊,占用或耗光目標對象主機或系統的資源或服務(wù),讓系統的可用性降低,導致一般使用者無(wú)法正常使用系統或主機所提供的服務(wù)。
案例:2013年5月,臺菲漁船槍擊事件引發(fā)臺菲鍵盤(pán)戰爭,臺灣遭菲律賓駭客以DDoS攻擊后反擊,臺灣在此事件中包含總統府、外交部、國防部、海巡署等網(wǎng)站皆遭到DDoS攻擊,也有部份臺灣民營(yíng)網(wǎng)站癱瘓。
4. 資料庫遭駭--企業(yè)或組織存放營(yíng)運所需資料的資料庫,遭內部或外部不適當或未經(jīng)授權之方式存取、使用或修改,造成被駭對象有形與無(wú)形負面影響。
案例:2013年5月19日,臺灣Groupon網(wǎng)站資料庫遭攻擊,臺灣會(huì )員數約380萬(wàn),其中估計有一成會(huì )員的電子信箱帳號及密碼可能被盜。
5. 社交工程郵件詐騙--利用民眾疏于防范的心理,讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語(yǔ)用字等方式,從合法用戶(hù)中套取用戶(hù)系統的秘密。
案例:2013年5月,駭客假冒健保局名義,以二代健保為誘餌,寄發(fā)社交工程郵件給中小企業(yè)。刑事局于5月27日宣布偵破,以妨害電腦使用罪將嫌犯移送法辦。
6. 手機或即時(shí)通訊信息詐騙--針對智慧型手機或平板等智慧型移動(dòng)裝置植入病毒、木馬等惡意程式;或通過(guò)傳送詐騙訊息以存取、復制、刪除移動(dòng)裝置中的個(gè)人資料、帳號密碼;或取得系統權限寄送用戶(hù)不知情的付費簡(jiǎn)報或撥打高額付費電話(huà);或通過(guò)傳送位置、開(kāi)啟裝置鏡頭攝錄、降低裝置執行效能,或直接竊取目標裝置等,甚至用戶(hù)本身遺失裝置,也都屬于此事件的手法。此類(lèi)事件多造成用戶(hù)資料外泄、財務(wù)損失、裝置癱瘓或遺失遭竊等。
案例:2014年4月,因為露天拍賣(mài)網(wǎng)設立帳號認證機制,并提供0809認證電話(huà),卻反而被歹徒用來(lái)結合LINE詐騙,把不知情的民眾當成網(wǎng)拍賣(mài)家人頭,被害人等到警方找上門(mén),或者被買(mǎi)家"追殺",才發(fā)現自己不小心成了詐騙集團共犯。
7. 惡意程式威脅--所謂惡意程式威脅事件,泛指有心人士刻意撰寫(xiě)具備惡意企圖的程碼,包含電腦病毒、蠕蟲(chóng)、木馬、間諜軟件、廣告軟件等種類(lèi),造成的影響如破壞系統正常運作、耗盡電腦資料、修改或破壞系統設定、復制或刪除檔案、讓系統當機、竄改程式資料、監控電腦活動(dòng)等隱私侵害、散布廣告等。
案例:2012年4月,出現針對Mac電腦的Flashback木馬程式變種,經(jīng)由Mac OS X系統的Java漏洞感染,主要目的為竊取個(gè)人資料,全球有60萬(wàn)臺Mac電腦感染。
8. 網(wǎng)站(頁(yè))遭駭--網(wǎng)站被植入惡意程式、或被癱瘓無(wú)法正常運作、或原本頁(yè)面被置換成其他頁(yè)面、或網(wǎng)站被藏入導向至特定頁(yè)面。
案例:2013年7月,蘋(píng)果電腦(Apple)之擁有600萬(wàn)會(huì )員數的開(kāi)發(fā)者網(wǎng)站遭到入侵,導致部分會(huì )員的個(gè)資可能外泄。
9. 身分帳密遭盜用--惡意人士通過(guò)如惡意程式、社交工程、網(wǎng)站系統漏洞等方式,取得目標對象之帳號密碼的事件。
案例:2013年10月,軟件業(yè)者奧多比(Adobe)在部落格中坦承公司系統遭駭客攻擊,駭客除了取得部分用戶(hù)資訊,包含使用者帳戶(hù)密碼、姓名、信用卡號碼等重要資訊,也取得Acrobat、ColdFusion等部分Adobe產(chǎn)品的原始碼,個(gè)資可能外泄的用戶(hù)達290萬(wàn)。
10. USB威脅事件--通過(guò)藏有惡意程式之USB隨身碟感染目標企業(yè)、組織或人員的電腦或裝置,進(jìn)一步入侵目標對象之系統并竊取機密資料、癱瘓系統。
案例:某位員工利用傳輸線(xiàn)將手機連上PC的USB port充電,導致原先潛伏在手機里的惡意程式(DroidCleaner),將惡意檔案傳送到公司的PC設備上。
