隨著應用成為推動業務發展的重要推手,越來越多的重要資料通過應用進行存取和傳輸。
網路犯罪分子能夠經過社交工具、惡意軟體程式設計、僵屍網路控制、信用卡欺詐、證書洗錢、被盜數位產品交易和企業智慧財產權販賣等手段,全部以牟利為目的破壞您的應用。
如今的犯罪分子類型繁多,技能水準、時間投入、資源和專業程度也各不相同,但唯一不變的是攻擊者都會緊緊地盯住您的應用和相關資料,並利用惡意軟體行竊。
攻擊:惡意軟體如何盜取您的資料
惡意程式是一種統稱,涵蓋任何一件意圖威脅使用者的惡意軟體 (病毒程式、蠕蟲程式、間諜程式、 勒索程式、木馬程式、後門程式等)。儘管戰術、技巧、流程不同,每種罪犯手法都有兩個基本面: 技術性攻擊 (破解) 及獲利 (利用資料)。
讓我們討論幾種網路罪犯使用惡意軟體破壞應用程式完整性並竊取私密資料的方法。
Bot 網站抓取
在 2016 年,網際網路流量有超過半數不是由人而是由機器人程式而產生。雖然不是所有的機器人程式都是惡意程式,但網路罪犯者為了各種惡意目的而使用自動程式。例如,他們能用機器人程式輕易複製網站,藉此掃描有價值的資訊 (幫助競爭對手):諸如影片或 PDF 檔案等智慧財產、電子郵件地址或使用者名稱 (有時隱藏在網頁程式碼中),以及商標或圖案 (有助於攻擊者設計擬真的釣魚式攻擊網站)。
攻擊者也會使用機器人程式搜刮網站上的使用者名稱和設計不良的登入資訊。例如,在某些網站上,當輸入的使用者名稱和密碼都不正確時會傳回「使用者名稱不正確」的訊息,而輸入的使用者名稱正確但密碼不正確時會傳回「密碼不正確」的訊息。因此很容易就能建立用於測試和發掘使用者名稱的機器人程式。為了繞過能偵測多次失敗嘗試的網站防火牆的保護,攻擊者可操控不同 IP地址的大型僵屍網路避免被發現。
帳號密碼填充
您以為您的使用者提供的是真實的身分嗎?不妨再三思考。惡意程式型的冒名者已快速成為企業組織現今所面臨的最大資安問題之一。想想看:在 2017 年前六個月,共有 2,227 件、超過 60 億筆紀錄外洩的入侵資料案件,造成無數帳戶面臨風險。犯罪者如何處置那些外洩的紀錄?帳號密碼填充是由 Sentry MBA 等惡意程式工具進行的自動攻擊行為,網路罪犯藉此獲取登入憑證資訊,並重複嘗試盜用公司或個人的帳戶。5
現在,若是每個人在驗證資訊外洩後變更其密碼,這些攻擊就不會成功。雖然如此,因為需要管理許多的網路帳號,百分之 75 的使用者會在不同帳號間重複使用帳號密碼資訊。這些不安全的密碼讓帳號密碼填充攻擊的成功機率為百分之 1 到 2,這表示網路犯罪者只要盜取 1 百萬筆記錄,就能輕易盜用 10,000 到 20,000 個帳號。在非法網站中有數拾億筆外洩的帳戶資訊廉價出售。7
如欲瞭解帳號密碼填充攻擊為何危害如此之大以及如何應對,請參考帳號密碼填充:一種快速蔓延的安全威脅。
內容注入
隨著人們愈來愈重視隱私權,加上更強的加密支援,2016 年時首次出現大部分網際網路經過加密的現象。這對重視資料保護的人來說是個好消息,但也代表著有幾乎一半的網路流量在面臨中間人 (MiTM) 攻擊時仍舊顯得不安全及軟弱。
當網路罪犯在通訊雙方「不知情」的情況下竊聽、攔截或竄改時,就會發生中間人攻擊。當未加密的網站在伺服器和瀏覽器傳送資料時,任何看得到傳輸內容的人,像是 ISP、相同網路下的使用者,或任何被入侵的路由器,很容易能加以攔截及竄改。在沒有 HTTPS提供的加密保證下,使用者絕對無法確認他們所看見的 (以及他們將資料輸入於其中的) 網頁就是他們所認為的網頁。
攻擊者也能在瀏覽器中注入惡意程式、惡意指令碼及假訊息。請當心跨網站指令碼 (XSS),攻擊者可能會在受信任的網站注入指令碼,企圖竊取個資、取得行動裝置控制權、進行轉帳和其他企圖。某些 ISP 已經開始監看使用者的流量並將自己的廣告注入您的瀏覽器中。網路罪犯也使用點擊劫持技術 (將惡意連結埋藏在合法內容中),企圖從事横幅廣告詐騙或誤導使用者安裝惡意程式。
惡意軟體中間人 (MITM) 攻擊
在此針對式攻擊中,感染惡意程式的使用者瀏覽網站。惡意程式會識別出想要從其中竊取機密資料的網址,注入惡意的 JavaScript 指令碼,其功能非常類似於內容注入,只不過它是在軟體層次發生。接著,注入的指令碼會將連線 重新引導至專為收集使用者名稱和密碼而設置的偽造網頁。
牟利:犯罪分子如何牟利
從您的應用程式竊取資料後,犯罪者開始轉移注意力到如何使用這些資料謀利。方法有時候很簡單,直接盜取銀行帳戶資訊,然後榨光帳戶,或者使用勒索軟體,要求企業或個人支付贖金。但網路罪犯也會販售智慧財產、使用者身份識別資訊及電子郵件地址給其他的犯罪者或非法網站或地下論壇的不明使用者。
讓我們討論駭客藉由竊取資料來獲利時一些最常見的作法。
盜用高價值帳戶
被竊取的登入憑證資訊如此之多,接下來的問題就是:犯罪者如何使用這些資料以獲得最大利益?若是金融帳戶資料,答案很簡單。一旦取得帳戶控制權,盜取帳戶中所有的金錢、股票或哩程數,並將它們傳送到遠端伺服器,由惡意軟 體在此使用犯罪者偷來的帳戶進行假交易。
同時,攻擊者 (或機器人程式) 會從盜用的帳戶獲取儲值、信用卡號碼及其他可識別個人身分的資訊。
盜用低價值帳戶
並非所有盜取的帳號密碼資訊都可用來存取高價值金融帳戶。但攻擊者仍可藉由這些資料謀利。
盜取推特帳戶在非法網站可能只值美金 100 分,但假如攻擊者使用機器人程式在所入侵的電腦上每天盜取數千個帳戶,那就會是隻金雞母。
帳號被盜該如何應對?
利用盜取的帳戶獲利的最簡單方法是進行假消費。攻擊者可以使用許多的 eBay帳戶建立假的買家和賣家以進行信用卡洗錢,這些不法所得最終都流到攻擊者的口袋裡。或者,也可以利用劫得的帳戶,向其他使用者發送垃圾郵件、利用假點擊增加橫幅廣告的點擊率以及販售個資 (像是郵遞區號、家庭成員姓名及電子郵件地址) 進行竊盜身份的犯罪,或利用個資幫助破解其他帳戶。
攻擊者可將盜取的 Netflix 帳戶以數美元賣給其他的使用者,讓這些使用者在原始帳戶所有人不知情的情況下免費觀看影片。Uber 帳戶已經成為較熱門的盜賣帳戶,每個帳戶在非法網站論壇上的價格約兩美元。
有許多的惡意軟體能幫助攻擊者入侵 Facebook 帳戶,因為屬於社群平台的網站,所以價值特別高。Facebook 使用者會張貼各種可識別個人身分的資訊 (例如母親的姓名、家鄉、高中學校、子女姓名等),個資讓這些帳戶成為竊盜身份攻擊者的金礦。此外,從 Facebook 搜刮的資訊已被用於犯罪計畫中,例如虛構綁架的攻擊者會冒稱綁架受害者,要求其朋友或家人支付贖金。
策略:使用多層式防禦保護企業組織
有如此多的網路罪犯盜取大量資料,而且以資料換取大筆現金;您可能會想問,有沒有可以解決惡意程式的方案?雖然無法只用一種方法預防這些類型的攻擊,但多層式防禦策略能幫助您大幅提升您防禦惡意軟體的能力。
強健的身份認證機制
第一道防禦工事是強健的身份認證機制。因為帳戶資訊向來是惡意攻擊的目標,強健的身份認證機制有助於維持使 用者身分及企業組織資料的安全。
不幸的是,大規模強健的身份認證機制相當昂貴,所以,某些企業組織因此僅對風險高的使用者採行多重因素驗證,對象包括高階管理團隊成員或可存取高價值公司資訊的員工。
隨著技術持續升級,網路罪犯也將精進其用於獲利的詐騙技巧。
詐騙監控
各行各業的公司都有面臨網路詐騙的風險,這是一種多面向的威脅,能讓企業組織每年損失數拾億美元。雖然您無法完全防堵詐騙,但可以利用幾種方法來降低其危害。
詐騙監控方式是利用機器進行快速分析,並搭配真人專家,針對那些無法透過機器學習的帳戶活動進行評估來識別正常或不正常。同樣的,採用此方法和取得其支援可能很昂貴,但有效的的詐騙監控服務有助於減少由惡意軟體竊取所造成的巨大損失。
網頁應用程式防火牆
無懈可擊的網路應用防火牆能讓企業組織更容易自行防禦惡意軟體攻擊。它能阻止機器人程式搜刮您的網站,保護您的智慧財產,並減少釣魚式攻擊活動成功的機會。您可以偵測出並阻止暴力型及帳號密碼填充攻擊、識別並阻止瀏覽器連線綁架攻擊,以及預防假交易的執行。
雖然上述任何一種解決方案無法讓您完全免於無所不在的惡意軟體問題的傷害,但多層式防禦策略能幫助您降低企業組織受影響的程度。
瞭解更多有關保護企業組織免受現在與未來威脅的資訊,請造訪 F5 Labs。
優先考量應用程式安全性
隨時開啟和隨時連線的應用程式可以幫助貴企業茁壯和轉型,不過,除了防火牆的保護,這些應用程式也可說是存取重要資料的入口。鑑於多數攻擊發生在 應用程式層級,所以保護那些推動貴企業的能力,也就是保護那些提供動力的應用程式。