小心!駭客,真的,就在你身邊
不要以為自己只是 nobody;只要你有一點點利用價值,就一定會是駭客的攻擊目標。
最近有幾則國內機構被駭的新聞,不知道有沒有引起你的注意:
- 中山大學的 Email 系統,早在多年前就被攻破;不明身分的駭客,以假冒的 Email 帳號,長期監控中山大學多位政治系教授的 Email 來往(https://www.cna.com.tw/news/firstnews/201911070210.aspx)
- 台大的教務系統遭學生「駭入」,將期中考的成績都改掉了。好在這個還有查到始作俑者。(https://tw.news.appledaily.com/life/realtime/20191108/1660562)
- 幾個月,有多家醫療院所疑似中了「勒贖攻擊」,所有電腦系統和資料都會被鎖死,如果不繳付贖金,就無法使用。衛福部雖然發了新聞稿說沒事,但 iThome 的調查報告,證實了案情沒這麼單純。
不只國內的大專院校、公司行號、醫療院所和政府單位經常被駭,國外更是天天都有各種駭侵案例:
- 日本首屈一指的媒體集團「日經媒體」,其紐約分公司的員工依照假冒主管寄出的 Email 指示,匯了 32 億日元到香港的某個銀行帳戶。
- 企業更是各種駭侵團體的最愛。一方面企業有錢,另一方面更有許多有價值的用戶資料,可以進一步加以利用;然後很多企業根本就缺乏資安意識,更缺少合格的資安人員與技術,以致於讓大量重要資料在外裸奔。
駭客天天駭,你卻不知情
這裡只是列出冰山一角而已;各位如果想看更多駭侵消息,像是 iThome 的資安新聞、台灣電腦網路危機處理暨協調中心的新聞公告區,每天都會有讓你看不完、看過後嘴巴合不起來的各式駭侵攻擊新聞。
然而這麼多駭侵新聞,嚴重損害大眾權益和國家安全,卻幾乎沒有幾則能上得了台灣的新聞版面;難怪大家總以為駭客遠在天邊,這些駭侵事件和自己沒什麼關係。
而駭客最喜歡的,就是像我們這樣,一點資安意識都沒有的待宰肥羊。
駭客是誰?他們到底要什麼?
一般我們對駭客的刻板印象,大概就是像電影《駭客任務》裡的安德森先生那樣,一個整天關在房間裡的阿宅,身懷絕世電腦技藝,能輕鬆從銀行帳戶中弄點錢來花。
這種駭客當然還是有,但並不是今日各種駭侵攻擊的主力。
現在的駭侵攻擊多半是組織化的,叫做「駭侵團體」,透過團隊力量和複雜先進的技術,針對特定或不特定目標,進行各種難以查覺的駭侵攻擊。
這些駭客到底想要什麼?無非還是錢與權,或是能進一步發動更大規模攻擊的資源。
要錢,還是小事
錢當然是多數駭客想要的東西,在各種駭侵事件中,針對金融機構、企業組織或政府機構的小型攻擊,很多的目標是為了錢。例如上面舉過的企業郵件詐騙、針對政府的勒贖攻擊等等。
還有一種典型的詐騙取財攻擊手法,就和每個人都有關了。
這些年來,有許多針對手機的惡意攻擊,有些透過網頁中的惡意程式碼,有些是塞有惡意軟體的 App;當用戶逛到這些網頁、下載這些 App,你的手機就可能被塞入惡意軟體,在你不知不覺之間,在背景進行大量廣告詐騙點擊,或是偷偷幫你訂閱多種高價訂閱服務,大賺平台的拆帳分潤。
等你發現信用卡莫名其妙被扣了一大筆錢,已經來不及了。
也有駭客不直接騙錢,卻在你的電腦或手機中植入加密貨幣挖礦程式,讓你的設備無時無刻幫他賺錢,你只會看到手機用電暴增,甚至因為過度使用提早報銷,卻完全不知道發生什麼事。
取得資源,以便布署後續的攻擊行動
不直接要錢的駭客,會想要什麼?可以持續發動下一波更大規模攻擊的資源,通常會是這類駭侵行動的目的。
這樣的資源通常有兩類:
- 滲透到關鍵目標的電腦系統中,以便在關鍵時刻發動攻擊。舉例來說,有很多電腦或手機被駭之後,會變成所謂「僵屍網路」的一分子;當駭客一聲令下,這些中鏢的電腦和手機,就會在同一時間,針對特定目標發動 DDoS「分散式阻斷攻擊」;被攻擊的目標會因為大量同時連線要求而陷入癱瘓。
- 取得大量資料,做為未來潛在的攻擊目標,或轉售牟利:這類駭侵攻擊的目標,是企圖取得含有大量「機敏資訊」(機密、敏感)。有了這些資料,就等於掌握了一大票名單,不但可以按名單進行後續攻擊,這些資訊甚至還可以拿去賣。
權力:國家間的暗黑對抗
駭侵攻擊不只是為了騙錢或取得資料,還能用來進行國家與國家間枱面下的無形戰爭。許多國家利用這些駭客團體組成真正的「網軍」,透過網路進行各種情報戰,包括機密資料的竊取、監控重要人物、破壞關鍵設施,甚至連結到真正的政治軍事行動。
在全球多個駭侵團體中,有不少組織長期進行各類駭侵活動;這類組織有個專有名詞,叫做「APT」,意指「進階持續性威脅」(Advanced Persistent Threat)。資安界已經辨識出幾十個這樣的組織,分布在全世界。
不少 APT 駭侵團體,背後都有國家的力量支持,幫這些國家進行情報搜集、資料竊取、監聽、散布惡意軟體,甚至直接造成破壞。被資安界點名利用 APT 進行國家級駭侵的幕後黑手,包括美國、中國、越南、伊朗、俄羅斯、以色列、北韓、烏茲別克、沙烏地阿拉伯等。
以下就是幾個疑似 APT 駭侵團體發動的「國家級」駭侵攻擊案例:
- 由中國在背後支持的 APT40,針對一帶一路相關國家的研究機構、國防工業、政府與軍事單位進行攻擊,意圖取得和海軍科技相關的機密資料。
- 俄羅斯透過 APT 組織大規模駭入企業內部的物連網裝置,當做攻擊跳板,或是進一步駭入更重要的系統主機,以取得機密資料。
- 著名的加密傳輸通訊軟體 Telegram,在六月時遭到來自中國的大規模 DDoS 分散式服務阻斷攻擊;幾乎所有的攻擊者 IP 都來自中國,Telegram 懷疑這是因為香港反送中示威者為逃避監控,大量使用 Telegram 進行通訊,因而遭到中國攻擊反制。
正規的網路軍隊攻擊
當然,除了枱面下的駭侵外,也有不少國家正式成立網路作戰單位,將駭侵手段做為正規軍事行動的一環。
例如美國在國防部轄下成立了「網路作戰司令部」(US Cyber Command),在八月時成功執行了一起針對伊朗的網路秘密軍事攻擊行動,摧毀了伊朗革命衛隊所屬的網路資料庫;一方面報復先前美軍無人機遭擊落的攻擊行動,另一方面也防止航行於波斯灣的各國油輪再次遭到伊朗攻擊。
另外,美國網路作戰司令部也曾在六月時駭入伊朗的飛彈射控系統,使之無法用來進行攻擊行動,同時保護布署在荷姆茲海峽美軍艦艇及人員的安全。
世界各國遲早都會建立正規的網軍作戰部隊,透過網路進行各式新型態的軍事行動。這也算是以國家力量進行的駭侵行為。
沒有人能例外,除非你懂自保
經常聽到很多人有這樣的論調:反正我又不是什麼重要人物,沒有人會想要我的資料,所以什麼駭客啦、資安啦,都是天高皇帝遠,不關我的事。
這種想法當然大錯特錯。相信看完上面的一大堆例子,各位應該就會明白,不是只有重要人物或重要單位才會成為駭侵目標;針對一般人的駭侵事件也愈來愈多,造成的直接或間接損失,往往也超乎你我想像。
希望這篇文章能先讓各位有所警覺,認清沒有人能自外於駭侵攻擊的現實,不要天真的以為資安和駭侵和自己無關。事實上,你的手機和電腦,很可能天天都被攻擊,甚至早就被駭客挾持或植入惡意軟體,只是你不知道而已。
那麼,一般人應該如何自保,才能避免遭駭,害人又害己?這個又得再寫一大篇來談,請期待下一篇文章。