【電子商務名家專欄】翁浩正:個資外洩頻傳,企業及民眾該如何自保?

近期網路上鬧得沸沸揚揚的,就是女明星照片外洩及 Google Gmail 密碼外洩事件了。資訊化程度越高,資訊安全的重要性也跟著提升。而最近不管是因為史諾登(Edward Snowden)爆料的 NSA 全球監控、或者是詐騙集團不斷利用民眾個資行騙,都讓大眾對於資訊外洩有著更深的恐懼。到底攻擊者是怎麼取得外洩的資訊,民眾、企業又該如何自保呢? 知己知彼百戰不殆,我們必須要先瞭解外洩成因,才能降低安全的風險。


回到個資外洩的議題,有傳言 Apple iCloud 今年女藝人照片外洩事件,是因為 iCloud 被駭客入侵,但隨後 Apple 調查表示是因為個人帳號被針對攻擊導致。究竟個資是怎麼外洩的呢? 我們先從外洩的管道開始探討。


帳號外洩管道可以分成以下幾種方式︰


1. 網路釣魚 (Phishing):


利用電子郵件、通訊軟體、或者是社交網站,傳送假的網站登入頁面給受害者,若受害者點選登入之後,即可竊取帳號密碼。因此在點選連結時,切記要停看聽:「停」下點擊的動作、「看」連結的網址 URL 是否正確、觀察傳送訊息的人是否可疑、「聽」專家的意見、聽身邊朋友是否有遭到網路釣魚攻擊。


案例分享:
http://devco.re/blog/2014/03/31/Google-Account-Phishing-Scam/
http://devco.re/blog/2014/05/12/line-phishing/
http://devco.re/blog/2014/07/03/apple-id-phishing-scam/


2. 帳號密碼還原機制(Password Recovery):


網站本身通常會有忘記密碼的還原機制,例如使用安全問題(寵物的名字、第一份工作)等。攻擊者利用這種機制猜測受害者的安全問題,進而直接換掉受害者的密碼存取他的帳戶。這也告訴我們,不要在網路上過度的暴露自己的私密資訊,攻擊者正默默的在一旁收集,拼湊你帳號安全問題的答案。


3. 社交工程攻擊(Social Engineering Attack):


利用信件、電話等方式,直接打電話給該網站平台客服電話,偽裝成受害者本人,想辦法取得帳號的存取權限或者是問出其他相關資料。例如 GoDaddy 2014/1/29 遭到有心人士進行社交工程攻擊,攻擊者打電話至客服聲稱要重設密碼,客服在不知情之下,核對身份時讓攻擊者多次猜測信用卡號,直到猜對之後成功重設密碼竊走帳號。因此企業必須對客服做好完善的資安教育訓練,防範此類社交工程攻擊。


4. APT 惡意文件攻擊(Advanced Persistent Threat / Malicious Document):


寄送包含木馬的惡意文件給受害者,受害者點選打開之後,將有可能被植入惡意程式,直接控制整台電腦。電腦被控制後,各種個人資料自然都被完全掌控。在收到電子郵件附件時,開啟附件前先注意是否為你信任的寄件者,再使用雲端服務(如 Google Drive)、或最新版的文件閱讀軟體(Adobe PDF Reader、Microsoft Word)開啟。APT 攻擊是最難防禦的攻擊,因此企業及民眾必須擁有正確的資安觀念,配合適當的資安措施來降低風險。


5. 入侵伺服器:


攻擊者直接入侵該網站,竊取個資、密碼等資料。目前不少電子商務網站都曾被駭,攻擊者竊取個資後賣給詐騙集團牟利。若網站的會員密碼沒有加密,更會因為網站被駭導致全部會員的帳號、密碼外洩。目前網路上流傳非常多遭到攻擊者外洩的帳號密碼,我們可以到以下的網站查詢,若發現自己的密碼遭到外洩請儘快修改。當然企業也必須針對自己的伺服器進行滲透測試等安全檢測,以確保沒有可被入侵的漏洞存在。


https://breachalarm.com/
https://haveibeenpwned.com/
http://nullprogram.com/gmail-bloom-filter/


密碼是資訊安全防護的最後一道防線。但在駭客技術躍進的時代,傳統被認為安全的密碼,在現今可能只要數秒就能破解。因此帳號的保存管理更為重要,不僅是密碼的選擇,更還有安全機制的設定。以下條列的帳號安全設定請各位務必注意:


1. 密碼長度:至少 15 字元以上
2. 密碼複雜度:英文大小寫、數字、空白、符號缺一不可
3. 密碼不共用:不同網站密碼不共用,不外流給其他使用者
4. 密碼定期更換:密碼至少三個月更換一次,不與前次相同
5. 使用安全的網路:開放的公眾網路並不安全,可能遭到竊聽封包,取得帳號密碼
6. 使用採用 HTTPS 加密的網站:網站使用 HTTPS 加密通訊比較安全,若沒有 HTTPS 容易遭到竊聽,在公眾網路更要注意
7. 開啟二階段驗證(或稱二步驟驗證 Two-Factor Authentication):除了帳號密碼之外,開啟二階段驗證後,還需要一組透過簡訊或者智慧型手機 App 取得的數字,輸入正確才能登入。若帳號密碼遭竊之後,攻擊者沒有那組數字依舊無法登入網站。目前主流服務都有提供此安全防護,例如 Google、Microsoft、Amazon、Facebook、Evernote、Github 等。


資安的風險在近年不斷提升,在敵暗我明的情況下更難成功防禦。為了有效抵禦攻擊者的入侵,除了要有正確的資安觀念之外,也要輔以適當的資安措施、系統機制。當然企業也必須投入相對應的資源,定期實施滲透測試消弭安全漏洞、進行教育訓練提升資安觀念,才能將安全風險降到最低,給予民眾一個值得信賴的電商環境。


作者簡介:
翁浩正 Allen Own
戴夫寇爾 DEVCORE 執行長
http://devco.re
具備多年駭客技術研究以及伺服器管理經驗,擔任學術及政府單位專任講師及顧問。專長於滲透測試、資安教育訓練、網站應用程式安全、伺服器建置及開發。長期投注心力培養新世代資安人才並關注台灣資安事件。戴夫寇爾團隊熱衷挑戰駭客思維、創新技術,藉由對技術的熱情,為企業建立堅強的資安後盾,協助打造更穩固的主顧信賴關係,讓企業與民眾的數位資產得到有效的保障。

>>回到「電子商務商情專區
>>觀看更多「名家專欄」精選文章