520 蔡英文总统就职前夕,总统府惊传电脑遭骇客入侵。部分媒体接连收到匿名信件,其中包含总统蔡英文与行政院院长苏贞昌密会资讯,以及各部会人事变动等内容,相关单位已启动调查,刑事局正积极侦办。
2018 年底,《财讯》采访一位曾任检察官的律师,采访到一半,他的电话突然响起,竟是一通诈骗电话。“以前我最常办的就是诈骗案,”他苦笑着说,这些年,骇客不断渗透“我们所有人的个资,他们统统都有”,早已形成一个地下产业。
受害名单一长串 -单位也中枪
摊开过去 3 年的受害者名单,大公司被骇客攻破的新闻,愈来愈常见。这 3 年当中,不只 2 家银行被攻陷,台湾 13 家券商也曾集体被骇,这 13 家券商交易额占台股 3 成;除此之外,旅行社、高铁、台积电都中招,就连去年,高雄果菜公司都曾因骇客入侵而停摆,只能付赎金解决。
这项统计,还未把-单位算进去。2019 年 6 月 24 日,铨叙部贴出公告,24 万名台湾公务员个资被窃,只要连上国外论坛讨论区,就能轻易下载这份个资清单。
2019 年,台北市卫生局流出的 298 万笔个资,也是因为被人发现在中国地下论坛贩卖,事件才因此曝光。
“你知道的不过是冰山的一角,”一位资安产业人士听完分析。
但令人害怕的是,当台湾在大谈 AI(人工智能)、5G 和物联网,这张表却显示,台湾面对的已不只是个资外泄,而是金融系统可能蒙受重创、工厂可能停摆、交易中断的风险,更可怕的是,当我们愈依赖网络,靠网络犯罪赚钱的骇客产业却高速成长。
▲ 台湾的骇客大会是台湾每年一度的资安大会,许多特殊议程讨论敏感攻击案例,不对媒体公开。
网络犯罪 朝大型化、组织化发展
这个“黑色产业”的成长速度有多快?2019 年 4 月 22 日,美国联邦调查局公布 2018 年网络犯罪报告。报告指出,2014 年时,在美国因为网络犯罪造成的财务损失,是 8 亿美元;到 2018 年,暴增为 27 亿美元,5 年内成长率 330%!但案件数则是从 26 万件增加为 35 万件,增幅约 35%,显示每个案件得手的金额快速成长。
在台湾,2018 年时,行政院资通安全处处长简宏伟表示,台湾- 1 个月被攻击的次数是 2,000 万到 4,000 万次,1 年被攻击成功的次数是 360 次,其中有 12 件,属于对外服务中断,或资讯外流的第 3 级事件。
监控台湾资安环境多年,数联资安处长游承儒观察,台湾被骇客攻击的次数在下降,但得手的金额在上升。他观察,网络犯罪正在朝大型化、组织化发展,未来愈来愈多的是手术刀式精准攻击。
台湾杜浦数位安全首席执行官蔡松廷,他的团队负责的工作,就是在地下网络和黑帽骇客斗法,追查犯罪者的动向和最新手法。
采访蔡松廷时,《财讯》记者拿出自己的笔电,请他展示如何骇进一般人的电脑,他找来团队成员,不到 3 分钟,我的笔电就被对方控制,操作者几乎无法发觉。
“我们定义骇客是喜欢研究技术的人,不支持违法,”蔡松廷说,他是用他们的技术,来研究有犯罪倾向的骇客,也有日本公司会向他们购买资安情报,了解攻击者的特性。
“这些攻击者对我们的掌握,超出大家的想像,”蔡松廷说,为了研究黑帽骇客,他们的研究人员也会潜入暗网,那是一个用正常方式看不到的网络世界,“要进入这个系统,你必须要被邀请,经过审核,确定你是专业卖家或买家,才能加入,”他说,在暗网的世界里,不只有人卖偷来的个资,还有人提供洗钱和代领款项的车手服务,被偷的资料就在这里交易与变现,“前一阵子,有个台湾-单位数据库在暗网被我们看到”。
无声的战争 暗藏国家级骇客
蔡松廷说,他们的研究员会化身在暗网里,调查犯罪型骇客的动向,“这是有风险的”他说,如果对方发现交易对象其实用的是假身份,不是真的要交易,对方有可能想尽办法反向追查你的真实身份,“就有人曾因为这样,在真实世界里被找到、警告。”
不只杜浦数位公司做这样的生意,美国资安大厂 FireEye 北亚区总经理徐海国在接受《财讯》采访时也曾表示,“我们有 10% 的员工是卧底,”连他都不见得知道名字,透过布建情报网,他们才能预知黑帽骇客可能发起的攻击,或制造出什么样的伤害,抢先反制。
事实上,白帽骇客和黑帽骇客的竞争,就是一场战争,而且,这场战争里,愈来愈常看到国家级骇客的身影。
例如,2017 年 10 月,远东银行被骇,一度被盗走 6,000 万美元,背后就是北朝鲜-骇客组织“APT 38”所为,他们利用藏在老旧系统里的恶意程式,趁假日盗转巨额资金到孟加拉,还好远东集团即时发现,才追回大部分资金。
“我们看到的是,北朝鲜骇客的规模扩大得很快,”徐海国观察,APT 38 到处寻找防备不足的银行,第一次只是从越南银行搬走了 100 万美元,后来,则是上千万美元的搬,胃口和规模增加了数十倍。
骇客的攻击手法也不断翻新,蔡松廷观察,厉害的骇客,可以攻击电信用的系统,“你只要给他一个号码,他就能知道这个人,在地球上的什么地方,甚至可以听到对话的内容,”几年前台北的骇客大会里,电信系统也是热烈讨论的题目之一。
对台湾资安最大的威胁,则来自中国,而且手法不断翻新。
中国威胁最大 手法不断翻新
最新攻击的手法,叫供应链攻击,是透过你信任的供应商,入侵你的电脑。今年华硕就因为云端服务服务器被攻破,为客户准备的更新档被动了手脚,导致所有下载原厂更新档的电脑,统统被植入后门。华硕随即升级软件,堵住程式漏洞。
“骇客的攻击手法,愈低调愈可怕,”一位资安专家分析,这款恶意软件感染了数万台电脑,“其实只锁定 600 台电脑,只有你的网络卡卡号跟他们设定的目标一致,病毒才会发作,下载第二阶段的病毒程式”,其中一个档案,还有中国曙光信息产业公司的数位签章。台湾资安公司奥义智慧发现,有 5 个 A 级-机关因此感染网络病毒。
2018 年底,中国网军还有新招,可能让台湾的重要情资绕过资安防火墙直送中国。
2018 年 12 月,立委黄国昌质询经济部,为台湾国营事业提供 ERP 服务的公司,原本是一家台湾 EY 咨询公司负责提供服务,ERP 是企业资源管理系统,是一个公司里最重要的资讯基础设施之一,过去半年,却有一家位于香港的德勤太平洋企业管理咨询公司大量挖角这家公司的员工,“而且出现带离非常多资讯的状况”,很多人是带着大把关键资讯离开公司。
黄国昌表示,“这家公司的客户,包括中油、中钢、台电,全都是重要的关键基础设施”,而这家德勤太平洋背后最终控制人是山东省政协委员黎嘉恩,背后的德勤中国主导人曾顺福更是北京的政协委员。
黄国昌认为,这个香港公司透过在台湾设立分公司,直接靠挖角偷走资讯,有这些资讯,极可能足以瘫痪台湾的基础设施,影响远大于个资外泄。
但负责管理国营事业的国营会只表示,没有接到国安局来函,“不清楚”。《财讯》采访多位资安专家,都表示这确实是影响台湾基础设施的严重问题,至今过了半年多,目前这个案子仍由投审会调查中。
▲ 总统蔡英文出席资安大会,也因为-要求各机关通报资安事件,台湾资安真实状况才开始浮上水面。
一带一路国家 都是攻击重点
2019 年 3 月 4 日,FireEye 还发表一份报告,公布中国新的网军部队“APT 40”,报告中指出,中国为了发展一带一路,也同步发展网络部队,控制邻近国家,APT 40 负责的就是攻击工程、航海和国防领域,一带一路上的重点国家,像柬埔寨、香港、菲律宾、德国、马来西亚等国,都是重点。
2018 年柬埔寨的大选,就发现中国网军介入的证据,中国为了支持柬埔寨执政党,除了提供资金和武器,还利用社交工程,假扮成非营利人权组织发新闻剪报,邮件里夹带他们专门研制的恶意程式码,给反对党公共事务部负责人 Monovithya Kem,还有反对党党魁的女儿 Kem Sokha,Fireeye 的报告指出,如果病毒被启动,就会自动连上一个位在海南岛的网址,下载更进阶、功能更强大的间谍程式,反对党的一举一动,都会被网军掌握。报告中也指出,中国一带一路周边的各国大选,都会是中国网军未来的练兵场。
“资安的本质,其实就是一种犯罪行为,一种战争。”微软资讯安全暨风险管理协理林宏嘉观察。站在攻的那一方,可以想各种方法,只求成功一次,例如,要攻进一家公司的网络,骇客也可以到这家公司门口发免费随身碟,只要有人贪便宜,回家用了,骇客就成功了。
面对愈来愈复杂的环境,台湾的企业也在进步。采访中,不同的专家都告诉我们一个概念,“人、流程和技术”,意思是,要保护自己的资讯安全,不变成骇客产业的营收,先要从人的风险意识做起,再按照企业的风险,盘点经营中可能的流程风险,针对企业营运的重点,投资适合的技术,才能有效地保护自己的安全。
“每一家公司都是第一次做生意的时候最严格,之后愈来愈松懈,”他分析,在社交工程诈骗中,如果收到供应商要改付款账号的要求,犯罪者同时还会抛出精心设计出的紧急状况,要求尽快付款,一般人可能只是把邮件里的联络资讯找出来,打电话过去确认,却不知道自己过去收到的邮件早就被动了手脚。
企业界勿轻忽 资安防护应升级
如果标准流程改为“找最早留下、确认过的联络资讯,重新确认。”就算原本的联络人离职,也打电话到对方公司,重新查对身份,骇客的诡计就不会得逞。
今年开始,台湾的科技大厂和金融单位,也开始进行红队演练,不等骇客来,资安训练之后,先由内部团队在公司里“钓鱼”,员工若是警戒心低误触,就会被认定是资安漏洞,进行加强教育,用“演习”来对抗骇客。
未来,我们使用的科技只会增加,不会减少,将来如果自驾车上路,连汽车都会有资安风险,我们暴露在资安的风险会愈来愈高,想靠科技赚钱,要先认识这个骇客产业,学会保护自己。
▲ 轰动一时的一银 ATM 吐钞案,不只领钱的车手在台湾被捕,俄罗斯主嫌随后也在西班牙落网。
(本文由 财讯 授权转载;首图来源:shutterstock)
延伸阅读:
- 一银 ATM 遇骇,34 台遭盗领 7,000 万
- 帮忙找系统漏洞,企业对白帽骇客祭天价奖励金
