您已成功訂閱 零售的科學
Great! Next, complete checkout for full access to 零售的科學
Welcome back! You've successfully signed in.
Success! Your account is fully activated, you now have access to all content.
Success! Your billing info is updated.
Billing info update failed.

駭客工業:網路世界的The Other Side,真實存在的怪奇物語

駭客已經是一個產業。駭客不只是組織運作,已發展成有上下游的產業鏈運作的大型產業。 在我們日常網路世界的「另一面」,有一個暗網在運作著,駭客工業在其中蓬勃的發展,每天用各種方式攻擊著我們的網路世界。 平均每39秒會有一個攻擊事件,一個沒有保護好的網站一放到網路上,18分鐘就會被攻破入侵。

Happy Lee 李昆謀
Happy Lee 李昆謀

電商網站面臨的資安威脅

一般來說,電商網站最常遇到的資安威脅有:

  1. 個資外洩
  2. 阻斷攻擊
  3. 網站挾持
  4. 偽卡盜刷

這些名字聽起來很厲害的資安事件,對品牌來說帶來的傷害更是厲害。以下的說明,是這些資安事件造成的「 結果」,不特別說明照成的「原因」,因為駭客的手法太多,原因是說不完的,因此只能以如果被駭之後的影響結果來分類說明。

1 個資外洩

通常就是消費者的個人資料被盜走。

駭客可能盜走整個會員資料庫,拿去暗網賣錢;或者盜走整包訂單資料,然後詐騙消費者。他們會偽裝成品牌的客服,跟消費者確認訂單資料取信消費者後,再設法讓消費者轉帳。

這種個資外洩的資安事件,造成傷害的不只品牌自己,還可能會對許多的消費者造成傷害,也因為已經影響了消費者等一般民眾,所以政府單位也會主動介入,只要民眾通報的事件一多,政府就會把有個資外洩的品牌電商網站做公告,對品牌會有很大的商譽傷害。

而且,如果被駭客拿走的個資,是消費者的信用卡號的話,那麻煩就更大了。

2阻斷攻擊

透過巨量的殭屍流量同時間連上一個品牌網站, 讓網站負載過多而無法運作。

這就很像黑道電影演的,一個餐廳的老闆不知為何得罪了黑道,然後黑道大哥叫了一百多個小弟把餐廳坐滿,想消費的客人就沒有辦法進來(也不敢進來),讓你沒有辦法做成生意。這就是所謂的阻斷攻擊:用巨量假流量攻打網站,目的在於癱瘓網站系統,讓網站無法運作,也就無法產生訂單,無法做業績。

這種資安事件主要就是造成品牌在攻擊期間的業績損失。

3網站挾持

整個網站被駭客入侵,無法連線進去做任何的設定與管理,也就是整個網站的管理員帳號密碼可能都被換掉了,也就是整個網站被「狹持」了。

通常駭客會用各種方法聯絡品牌,要求支付「贖金」,而且要在一定的期間以內,否則會銷毀整個網站或資料庫。

通常這種資安事件,簡單是付錢了事,但就算付了錢,也很可能最後整個網站還是拿不回來,也就是「撕票」,  如果品牌網站平時沒有做任何備份,很有可能是整個品牌資產的損失,包含會員資料與累積的數位資產。

4偽卡盜刷

用假信用卡號購買大量產品,最後品牌請不到帳款,一樣造成品牌的金錢損失。

駭客工業

如同上面所說,駭客已經是一個產業。駭客不單只是組織運作,而是有上下游的產業鏈運作。像是上面的這些事件,通常都是一整個供應鏈運作的結果,而不只是個人駭客所為。

例如有人專門設法竊取個資,然後有人專門買個資去詐騙;而有人專門取得卡號,有人專門去設法去盜刷換錢;有人專門去攻佔網站,取得管理員權限,有人專門買這些被攻佔的網站,一則去要求贖金、二則變成殭屍網路的ㄧ個節點,或攻打其他網站系統的跳板。

每天都有大量的交易在暗網上進行,無論是買賣個資、買賣網站節點、甚至各種攻擊服務,所有供需之間雙方彼此都是匿名,用比特幣交易。甚至還有明碼標價的套件包,讓駭客新手可以先試用,滿意後再付款,依據使用量計費。

因此資安的威脅才因此變得越來越嚴峻,駭客現在有時候不是為了錢,而是為了「好玩」。

駭客新手村

在暗網,一個帳號1元美金

暗網上有很多販售的駭客服務與駭客套件,有些甚至還免費試用,讓駭客新手很容易入門。所以當一個沒有太多防護的網站,被駭客攻擊成功,很有可能把你的網站打掛的,根本是一個隨便在暗網上,花了100美金買的套件的高中生,而他的目的,只是因為好玩。

這也是為什麼,一個沒有防護的網站,平均18分鐘就會被打掛。每天網路上有太多駭客程序,一直在掃描著整個網路,尋找這些可口的「羔羊」們,因為需求量非常的大,這是一門很大的生意。

這是真實存在的暗黑網路,而且隨著時間累積越來越強大, 讓整個我們日常使用的網路每時每刻都籠罩在整個暗網的威脅,像是一般網際網路的The Other Side。

網路科技是人類科技文明的里程碑,但在這個虛擬世界卻像中古大陸一樣的野蠻。

基本的防範建議

如果你意識到網路的世界是這樣的可怕,而你身為一個網站擁有者或經營者,請一定要有資安的意識。自己的家如果連門窗都基本都不上鎖,別人也幫不了你。

通常自己能準備的,最基本的,就是所有辦公室的電腦,都要安裝防毒軟體,並且一定要付費定期更新。

大多數的資安事件,漏洞反而不是線上的網站系統,而是從連進網站系統做管理的辦公室個人電腦。

另外所有的重要帳號,不要設定無腦的密碼,例如「1234」、「password」,或是手機號碼。請盡量使用英數夾雜、含大小寫和符號,並且長度最好大於12碼。

如果你的網站系統有支援OTP(一次性密碼)、或者兩階段驗證,請一定要開啟他。

讓專業的來:網站的系統商

至於網站系統的防護,就要靠有經驗、並且有規模的系統商了。如果我們知道,現在面對的資安威脅,是一整個駭客產業的威脅,是一個工業層級的威脅,我們不能期望簡單的專案外包或工作室層級的系統商,會幫助我們有效抵抗這種層級威脅。

而且,網站一上線之後,資安的維運是每一分每一秒的事情,是一個長期性不停止的工作,他不是買一個防火牆、裝一個防毒軟體就結束的事情。尤其像是上面談到的「阻斷攻擊」,是要有工程師們時刻做監控、調配機器、並且依據每次攻擊的型態,調整對應的策略的。

因為這是一種「攻擊」,而駭客是有「戰術」的,保護城堡不是只是靠一座城牆或護城河,有了這些防守的器具,還會需要操作他的人,你會需要有將軍跟軍隊,來對抗這些各種變化多端的攻擊方式。

資安系統設計

在Facebook上追蹤我

文章同步刊登

medium

vocus

如果你也使用以上的服務,也可以到 medium方格子 追蹤文章更新

相關連結

91app