一鍵風暴》我們與資安風險的距離!數十兆元地下經濟來自你我的輕忽

作者 | 發布日期 2020 年 11 月 19 日 8:30 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


前陣子一則網路新聞掀起了網路的話題──一個由中國品牌「囚愛」開發的男性貞操帶,被發現控制貞操鎖的 App 有安全漏洞,若遭駭客鎖定,駭客可以遠端操控貞操帶,導致貞操帶沒辦法解鎖。如果用戶不幸碰上被鎖,就只能透過人工切割的方式解鎖。


我們離資安危機很遠嗎?再不小心!你的私密事就成全球共享資訊,只要輕輕點下一個按鈕,小至個人與家中訊息全被看光,大至整間公司的營業機密都可能跟著葬送。 👉 一鍵風暴資安系列專題


這則新聞多被大家視為獵奇的事件,看看笑過就算了。然而,這則新聞背後卻有其重大意義,也就是每個人資訊安全的曝險都越來越大了。試想,把「貞操帶」替換成個人電腦、個人手機、家中的路由器、家中的寵物攝影機、家中寶寶攝影機、家裡的智慧電視、家庭監視器、聯網冰箱、聯網冷氣、聯網洗衣機,甚至是可以用 App 操控的門鎖等等,這些裝置雖然都需要帳密,但資安專家表示,許多使用者甚至沒更換過原廠密碼,駭客要入侵簡直輕而易舉。

一般民眾可能並未警覺,光是從一張在 Instagram 的照片,駭客就可以找出個人所在位置與相關個人資訊,更何況是上述這些產品,一旦遭鎖定,個人資訊就直接攤在駭客眼下,損失的可能將不只是造成「皮肉痛」的切割解鎖,而是個人資訊的曝光、財務的損失,更甚者是人身安全的危害。

而你我身旁的資安風險只會越來越高。「因為疫情的影響,全球網路使用的頻率增加了、在家上班越來越普及,這個情況導致網路攻擊的頻率也跟著升高。」TeamT5 執行長蔡松廷表示。駭客攻擊在 COVID-19 疫情發生後上升的態勢,早已是資安業界的共識。

網路犯罪一年「產值」比蘋果公司營收高出 5 倍

這些包含勒索軟體、資訊竊取在內的網路犯罪商機究竟有多大?根據一份網路犯罪經濟的學術研究顯示,網路犯罪經濟一年高達 1.5 兆美元(約新台幣 43 兆元)。這個數字比全球最會賺錢公司之一的蘋果,在 2019 年的 2,600 億美元營收還多了 5 倍以上。

網路犯罪經濟能如此巨大,這背後的商機其實來自「我應該不會碰上」的僥倖與輕忽。台灣網路資訊中心副執行長丁綺萍就直言:「在資訊安全的議題上,多數人都是有資安重大事件時才會注意。但多半仍抱持可以冒風險的心態。」

從一份趨勢科技公布的報告中顯示,目前竊取帳號資訊、遊戲相關內容與信用卡資訊仍是地下市場提供的前三大物品與服務。其中,包含銀行帳號、社群帳號、串流媒體與音樂服務在內的失竊帳號,高居第一名。

這樣的結果顯示在帳號遭竊的頻繁程度。LINE、Facebook 帳號被盜的案例時有所聞,不僅是一般人會遭遇,名人更是駭客鎖定目標。先前美國前總統歐巴馬、特斯拉執行長馬斯克、微軟創辦人比爾蓋茲的 Twitter 也難以倖免遭到入侵,目標是利用這些人的 Twitter 詐騙比特幣。

資安專家也直言,許多社群網站、購物網站皆有資安漏洞,導致使用者或消費者的個資外洩。另外,釣魚網站的攻擊也層出不窮,透過假裝成社群平台的登入頁面,就能擷取使用者的帳密。而不少使用者設定帳號密碼時,常常因為登入各種不同網站都需要帳密,因而採用同一組帳密,這種情況就會導致一旦駭客騙取了一組帳密,就可以用同一組帳密登入各個不同網站。

「在家工作」掀起 VPN 需求,企業內網資安面臨嚴重考驗

不只是個人資訊安全風險越來越高,企業面臨的資訊安全風險也同樣逐年高升。尤其在疫情發生後,企業內網的安全性受到了「在家工作」趨勢的嚴峻挑戰。

蔡松廷就指出,疫情後可以看到企業資訊安全可攻擊的面向增加,特別是因為員工必須在家上班,家中電腦的資安防護並未像企業內部電腦這麼高,加上頻繁使用 VPN,連線到企業內網的裝置大幅增加,使用的複雜度增加,對於公司內部負責網路裝置的人員來說,要判讀員工使用 VPN 是否造成異常的難度也大幅提升。

事實上,今年在疫情發生之後,就有許多企業與政府機關,因為 VPN 的使用,被駭客攻入內網造成資安的威脅。「從 VPN 找破口攻擊,就可以直搗核心,直接朝企業內網下手。」蔡松廷說。

一旦內網被入侵,包含公司員工的個人資訊、公司內部資訊,甚至是公司業務或技術研發技術資料都可能被盜、被鎖定或被威脅刪除。一位資安專家透露,今年不乏小型公司遭駭客鎖定勒索,更甚者是有同一間公司反覆被勒索。更糟糕的是,若內部資訊已遭駭客劫持,「大概只有付贖金才有機會拿回資料,或甚至拿不回資料」,專家不諱言。

今年光是企業遭到大型網路攻擊的案例就有好幾起,其中 Garmin 的案件因為涉及一般使用者,其嚴重性受到各界關注。Garmin 在今年 7 月傳出遭駭客攻擊,不但產線停工 2 天,連用戶的 App 都出現無法更新的狀況。甚至有傳言 Garmin 支付了 1,000 萬美元(約新台幣 2.9 億元)的「贖金」才解鎖攻擊。

除了 Garmin 之外,南韓企業 SK Hynix、LG 今年也都成為駭客攻擊目標,內部與客戶交易的機密資訊均遭曝光。儘管多數企業對於遭駭與贖金資訊三緘其口,但從一些調查結果中,也能一窺網路攻擊對企業帶來的危害有多嚴重。微軟就曾在 2018 亞太資安研究報告中指出,2017 年台灣由於網路資安攻擊事件而造成的經濟成本損失高達 270 億美元,換算成新台幣約 8,000 億元。

「資安即國安」只是口號?資安危機比你我想像的更嚴重

資訊安全危害不僅造成個人與企業損失,對於國家安全的侵害也成為政府的一大挑戰。對大部分民眾來說,「資安即國安」僅是一句常聽到的政府口號。然而,事實上,資安業內人士私下透露,我們的各個政府網站、醫療院所系統、智庫單位、媒體網站幾乎都是駭客鎖定攻擊目標,正是因為這些機構中有大量的全民個資與國家機密資訊。

▲ 2020 年第二季政府資安威脅現況。(Source:NCCST,科技新報整理)

甚至業者還提到,業內也有傳聞,來自中國的駭客正積極的蒐集台灣民眾的個資以及在社群平台上的資訊,用於中國政府情資分析,民眾在入境中國時的就可能因為自己曾在社群平台上的發言,或是親朋好友的動態而被盯上。也就是說,資訊安全的漏洞造成的除了經濟損失外,也會危及國民與國家的安全。

正是因為資安危害擴及範圍小至個人、大至企業、國家,而危機其實就淺藏在日常生活中的各種裝置中,往往只需要輕輕按下一個按鍵,就可能葬送個人的資訊,甚至是公司機密。也正是因為資安危機年年高升,《科技新報》特別規劃了系列專題,從個人、企業到法人與政府的角度來看資安風險,並進一步探討維護資訊安全更好的做法,以及台灣資安產業發展的潛能。

延伸閱讀

(首圖來源:達志影像)