從政府到企業都受「駭」,3 個關鍵數字暴露台灣資安危機

作者 | 發布日期 2020 年 05 月 23 日 9:00 | 分類 網路 , 資訊安全 line share follow us in feedly line share
從政府到企業都受「駭」,3 個關鍵數字暴露台灣資安危機


520 蔡英文總統就職前夕,總統府驚傳電腦遭駭客入侵。部分媒體接連收到匿名信件,其中包含總統蔡英文與行政院院長蘇貞昌密會資訊,以及各部會人事變動等內容,相關單位已啟動調查,刑事局正積極偵辦。

2018 年底,《財訊》採訪一位曾任檢察官的律師,採訪到一半,他的電話突然響起,竟是一通詐騙電話。「以前我最常辦的就是詐騙案,」他苦笑著說,這些年,駭客不斷滲透「我們所有人的個資,他們統統都有」,早已形成一個地下產業。

受害名單一長串  政府單位也中槍

攤開過去 3 年的受害者名單,大公司被駭客攻破的新聞,愈來愈常見。這 3 年當中,不只 2 家銀行被攻陷,台灣 13 家券商也曾集體被駭,這 13 家券商交易額占台股 3 成;除此之外,旅行社、高鐵、台積電都中招,就連去年,高雄果菜公司都曾因駭客入侵而停擺,只能付贖金解決。

這項統計,還未把政府單位算進去。2019 年 6 月 24 日,銓敘部貼出公告,24 萬名台灣公務員個資被竊,只要連上國外論壇討論區,就能輕易下載這份個資清單。

2019 年,台北市衛生局流出的 298 萬筆個資,也是因為被人發現在中國地下論壇販賣,事件才因此曝光。

「你知道的不過是冰山的一角,」一位資安產業人士聽完分析。

但令人害怕的是,當台灣在大談 AI(人工智慧)、5G 和物聯網,這張表卻顯示,台灣面對的已不只是個資外洩,而是金融系統可能蒙受重創、工廠可能停擺、交易中斷的風險,更可怕的是,當我們愈依賴網路,靠網路犯罪賺錢的駭客產業卻高速成長。

▲ 台灣的駭客大會是台灣每年一度的資安大會,許多特殊議程討論敏感攻擊案例,不對媒體公開。

網路犯罪  朝大型化、組織化發展

這個「黑色產業」的成長速度有多快?2019 年 4 月 22 日,美國聯邦調查局公布 2018 年網路犯罪報告。報告指出,2014 年時,在美國因為網路犯罪造成的財務損失,是 8 億美元;到 2018 年,暴增為 27 億美元,5 年內成長率 330%!但案件數則是從 26 萬件增加為 35 萬件,增幅約 35%,顯示每個案件得手的金額快速成長。

在台灣,2018 年時,行政院資通安全處處長簡宏偉表示,台灣政府 1 個月被攻擊的次數是 2,000 萬到 4,000 萬次,1 年被攻擊成功的次數是 360 次,其中有 12 件,屬於對外服務中斷,或資訊外流的第 3 級事件。

監控台灣資安環境多年,數聯資安處長游承儒觀察,台灣被駭客攻擊的次數在下降,但得手的金額在上升。他觀察,網路犯罪正在朝大型化、組織化發展,未來愈來愈多的是手術刀式精準攻擊。

台灣杜浦數位安全執行長蔡松廷,他的團隊負責的工作,就是在地下網路和黑帽駭客鬥法,追查犯罪者的動向和最新手法。

採訪蔡松廷時,《財訊》記者拿出自己的筆電,請他展示如何駭進一般人的電腦,他找來團隊成員,不到 3 分鐘,我的筆電就被對方控制,操作者幾乎無法發覺。

「我們定義駭客是喜歡研究技術的人,不支持違法,」蔡松廷說,他是用他們的技術,來研究有犯罪傾向的駭客,也有日本公司會向他們購買資安情報,了解攻擊者的特性。

「這些攻擊者對我們的掌握,超出大家的想像,」蔡松廷說,為了研究黑帽駭客,他們的研究人員也會潛入暗網,那是一個用正常方式看不到的網路世界,「要進入這個系統,你必須要被邀請,經過審核,確定你是專業賣家或買家,才能加入,」他說,在暗網的世界裡,不只有人賣偷來的個資,還有人提供洗錢和代領款項的車手服務,被偷的資料就在這裡交易與變現,「前一陣子,有個台灣政府單位資料庫在暗網被我們看到」。

無聲的戰爭  暗藏國家級駭客

蔡松廷說,他們的研究員會化身在暗網裡,調查犯罪型駭客的動向,「這是有風險的」他說,如果對方發現交易對象其實用的是假身分,不是真的要交易,對方有可能想盡辦法反向追查你的真實身分,「就有人曾因為這樣,在真實世界裡被找到、警告。」

不只杜浦數位公司做這樣的生意,美國資安大廠 FireEye 北亞區總經理徐海國在接受《財訊》採訪時也曾表示,「我們有 10% 的員工是臥底,」連他都不見得知道名字,透過布建情報網,他們才能預知黑帽駭客可能發起的攻擊,或製造出什麼樣的傷害,搶先反制。

事實上,白帽駭客和黑帽駭客的競爭,就是一場戰爭,而且,這場戰爭裡,愈來愈常看到國家級駭客的身影。

例如,2017 年 10 月,遠東銀行被駭,一度被盜走 6,000 萬美元,背後就是北韓政府駭客組織「APT 38」所為,他們利用藏在老舊系統裡的惡意程式,趁假日盜轉巨額資金到孟加拉,還好遠東集團即時發現,才追回大部分資金。

「我們看到的是,北韓駭客的規模擴大得很快,」徐海國觀察,APT 38 到處尋找防備不足的銀行,第一次只是從越南銀行搬走了 100 萬美元,後來,則是上千萬美元的搬,胃口和規模增加了數十倍。

駭客的攻擊手法也不斷翻新,蔡松廷觀察,厲害的駭客,可以攻擊電信用的系統,「你只要給他一個號碼,他就能知道這個人,在地球上的什麼地方,甚至可以聽到對話的內容,」幾年前台北的駭客大會裡,電信系統也是熱烈討論的題目之一。

對台灣資安最大的威脅,則來自中國,而且手法不斷翻新。

中國威脅最大  手法不斷翻新

最新攻擊的手法,叫供應鏈攻擊,是透過你信任的供應商,入侵你的電腦。今年華碩就因為雲端服務伺服器被攻破,為客戶準備的更新檔被動了手腳,導致所有下載原廠更新檔的電腦,統統被植入後門。華碩隨即升級軟體,堵住程式漏洞。

「駭客的攻擊手法,愈低調愈可怕,」一位資安專家分析,這款惡意軟體感染了數萬台電腦,「其實只鎖定 600 台電腦,只有你的網路卡卡號跟他們設定的目標一致,病毒才會發作,下載第二階段的病毒程式」,其中一個檔案,還有中國曙光信息產業公司的數位簽章。台灣資安公司奧義智慧發現,有 5 個 A 級政府機關因此感染網路病毒。

2018 年底,中國網軍還有新招,可能讓台灣的重要情資繞過資安防火牆直送中國。

2018 年 12 月,立委黃國昌質詢經濟部,為台灣國營事業提供 ERP 服務的公司,原本是一家台灣 EY 諮詢公司負責提供服務,ERP 是企業資源管理系統,是一個公司裡最重要的資訊基礎設施之一,過去半年,卻有一家位於香港的德勤太平洋企業管理諮詢公司大量挖角這家公司的員工,「而且出現帶離非常多資訊的狀況」,很多人是帶著大把關鍵資訊離開公司。

黃國昌表示,「這家公司的客戶,包括中油、中鋼、台電,全都是重要的關鍵基礎設施」,而這家德勤太平洋背後最終控制人是山東省政協委員黎嘉恩,背後的德勤中國主導人曾順福更是北京的政協委員。

黃國昌認為,這個香港公司透過在台灣設立分公司,直接靠挖角偷走資訊,有這些資訊,極可能足以癱瘓台灣的基礎設施,影響遠大於個資外洩。

但負責管理國營事業的國營會只表示,沒有接到國安局來函,「不清楚」。《財訊》採訪多位資安專家,都表示這確實是影響台灣基礎設施的嚴重問題,至今過了半年多,目前這個案子仍由投審會調查中。

▲ 總統蔡英文出席資安大會,也因為政府要求各機關通報資安事件,台灣資安真實狀況才開始浮上水面。

一帶一路國家  都是攻擊重點

2019 年 3 月 4 日,FireEye 還發表一份報告,公布中國新的網軍部隊「APT 40」,報告中指出,中國為了發展一帶一路,也同步發展網路部隊,控制鄰近國家,APT 40 負責的就是攻擊工程、航海和國防領域,一帶一路上的重點國家,像柬埔寨、香港、菲律賓、德國、馬來西亞等國,都是重點。

2018 年柬埔寨的大選,就發現中國網軍介入的證據,中國為了支持柬埔寨執政黨,除了提供資金和武器,還利用社交工程,假扮成非營利人權組織發新聞剪報,郵件裡夾帶他們專門研製的惡意程式碼,給反對黨公共事務部負責人 Monovithya Kem,還有反對黨黨魁的女兒 Kem Sokha,Fireeye 的報告指出,如果病毒被啟動,就會自動連上一個位在海南島的網址,下載更進階、功能更強大的間諜程式,反對黨的一舉一動,都會被網軍掌握。報告中也指出,中國一帶一路周邊的各國大選,都會是中國網軍未來的練兵場。

「資安的本質,其實就是一種犯罪行為,一種戰爭。」微軟資訊安全暨風險管理協理林宏嘉觀察。站在攻的那一方,可以想各種方法,只求成功一次,例如,要攻進一家公司的網路,駭客也可以到這家公司門口發免費隨身碟,只要有人貪便宜,回家用了,駭客就成功了。

面對愈來愈複雜的環境,台灣的企業也在進步。採訪中,不同的專家都告訴我們一個概念,「人、流程和技術」,意思是,要保護自己的資訊安全,不變成駭客產業的營收,先要從人的風險意識做起,再按照企業的風險,盤點經營中可能的流程風險,針對企業營運的重點,投資適合的技術,才能有效地保護自己的安全。

「每一家公司都是第一次做生意的時候最嚴格,之後愈來愈鬆懈,」他分析,在社交工程詐騙中,如果收到供應商要改付款帳號的要求,犯罪者同時還會拋出精心設計出的緊急狀況,要求盡快付款,一般人可能只是把郵件裡的聯絡資訊找出來,打電話過去確認,卻不知道自己過去收到的郵件早就被動了手腳。

企業界勿輕忽  資安防護應升級

如果標準流程改為「找最早留下、確認過的聯絡資訊,重新確認。」就算原本的聯絡人離職,也打電話到對方公司,重新查對身分,駭客的詭計就不會得逞。

今年開始,台灣的科技大廠和金融單位,也開始進行紅隊演練,不等駭客來,資安訓練之後,先由內部團隊在公司裡「釣魚」,員工若是警戒心低誤觸,就會被認定是資安漏洞,進行加強教育,用「演習」來對抗駭客。

未來,我們使用的科技只會增加,不會減少,將來如果自駕車上路,連汽車都會有資安風險,我們暴露在資安的風險會愈來愈高,想靠科技賺錢,要先認識這個駭客產業,學會保護自己。

▲ 轟動一時的一銀 ATM 吐鈔案,不只領錢的車手在台灣被捕,俄羅斯主嫌隨後也在西班牙落網。

(本文由 財訊 授權轉載;首圖來源:shutterstock)

延伸閱讀: