駭客工業:網路世界的The Other Side,真實存在的怪奇物語

駭客已經是一個產業。駭客不只是組織運作,已發展成有上下游的產業鏈運作的大型產業。 在我們日常網路世界的「另一面」,有一個暗網在運作著,駭客工業在其中蓬勃的發展,每天用各種方式攻擊著我們的網路世界。 平均每39秒會有一個攻擊事件,一個沒有保護好的網站一放到網路上,18分鐘就會被攻破入侵。

Happy Lee 李昆謀
Happy Lee 李昆謀

Table of Contents

電商網站面臨的資安威脅

一般來說,電商網站最常遇到的資安威脅有:

  1. 個資外洩
  2. 阻斷攻擊
  3. 網站挾持
  4. 偽卡盜刷

這些名字聽起來很厲害的資安事件,對品牌來說帶來的傷害更是厲害。以下的說明,是這些資安事件造成的「 結果」,不特別說明照成的「原因」,因為駭客的手法太多,原因是說不完的,因此只能以如果被駭之後的影響結果來分類說明。

1 個資外洩

通常就是消費者的個人資料被盜走。

駭客可能盜走整個會員資料庫,拿去暗網賣錢;或者盜走整包訂單資料,然後詐騙消費者。他們會偽裝成品牌的客服,跟消費者確認訂單資料取信消費者後,再設法讓消費者轉帳。

這種個資外洩的資安事件,造成傷害的不只品牌自己,還可能會對許多的消費者造成傷害,也因為已經影響了消費者等一般民眾,所以政府單位也會主動介入,只要民眾通報的事件一多,政府就會把有個資外洩的品牌電商網站做公告,對品牌會有很大的商譽傷害。

而且,如果被駭客拿走的個資,是消費者的信用卡號的話,那麻煩就更大了。

2阻斷攻擊

透過巨量的殭屍流量同時間連上一個品牌網站, 讓網站負載過多而無法運作。

這就很像黑道電影演的,一個餐廳的老闆不知為何得罪了黑道,然後黑道大哥叫了一百多個小弟把餐廳坐滿,想消費的客人就沒有辦法進來(也不敢進來),讓你沒有辦法做成生意。這就是所謂的阻斷攻擊:用巨量假流量攻打網站,目的在於癱瘓網站系統,讓網站無法運作,也就無法產生訂單,無法做業績。

這種資安事件主要就是造成品牌在攻擊期間的業績損失。

3網站挾持

整個網站被駭客入侵,無法連線進去做任何的設定與管理,也就是整個網站的管理員帳號密碼可能都被換掉了,也就是整個網站被「狹持」了。

通常駭客會用各種方法聯絡品牌,要求支付「贖金」,而且要在一定的期間以內,否則會銷毀整個網站或資料庫。

通常這種資安事件,簡單是付錢了事,但就算付了錢,也很可能最後整個網站還是拿不回來,也就是「撕票」,  如果品牌網站平時沒有做任何備份,很有可能是整個品牌資產的損失,包含會員資料與累積的數位資產。

4偽卡盜刷

用假信用卡號購買大量產品,最後品牌請不到帳款,一樣造成品牌的金錢損失。

駭客工業

如同上面所說,駭客已經是一個產業。駭客不單只是組織運作,而是有上下游的產業鏈運作。像是上面的這些事件,通常都是一整個供應鏈運作的結果,而不只是個人駭客所為。

例如有人專門設法竊取個資,然後有人專門買個資去詐騙;而有人專門取得卡號,有人專門去設法去盜刷換錢;有人專門去攻佔網站,取得管理員權限,有人專門買這些被攻佔的網站,一則去要求贖金、二則變成殭屍網路的ㄧ個節點,或攻打其他網站系統的跳板。

每天都有大量的交易在暗網上進行,無論是買賣個資、買賣網站節點、甚至各種攻擊服務,所有供需之間雙方彼此都是匿名,用比特幣交易。甚至還有明碼標價的套件包,讓駭客新手可以先試用,滿意後再付款,依據使用量計費。

因此資安的威脅才因此變得越來越嚴峻,駭客現在有時候不是為了錢,而是為了「好玩」。

駭客新手村

在暗網,一個帳號1元美金

暗網上有很多販售的駭客服務與駭客套件,有些甚至還免費試用,讓駭客新手很容易入門。所以當一個沒有太多防護的網站,被駭客攻擊成功,很有可能把你的網站打掛的,根本是一個隨便在暗網上,花了100美金買的套件的高中生,而他的目的,只是因為好玩。

這也是為什麼,一個沒有防護的網站,平均18分鐘就會被打掛。每天網路上有太多駭客程序,一直在掃描著整個網路,尋找這些可口的「羔羊」們,因為需求量非常的大,這是一門很大的生意。

這是真實存在的暗黑網路,而且隨著時間累積越來越強大, 讓整個我們日常使用的網路每時每刻都籠罩在整個暗網的威脅,像是一般網際網路的The Other Side。

網路科技是人類科技文明的里程碑,但在這個虛擬世界卻像中古大陸一樣的野蠻。

基本的防範建議

如果你意識到網路的世界是這樣的可怕,而你身為一個網站擁有者或經營者,請一定要有資安的意識。自己的家如果連門窗都基本都不上鎖,別人也幫不了你。

通常自己能準備的,最基本的,就是所有辦公室的電腦,都要安裝防毒軟體,並且一定要付費定期更新。

大多數的資安事件,漏洞反而不是線上的網站系統,而是從連進網站系統做管理的辦公室個人電腦。

另外所有的重要帳號,不要設定無腦的密碼,例如「1234」、「password」,或是手機號碼。請盡量使用英數夾雜、含大小寫和符號,並且長度最好大於12碼。

如果你的網站系統有支援OTP(一次性密碼)、或者兩階段驗證,請一定要開啟他。

讓專業的來:網站的系統商

至於網站系統的防護,就要靠有經驗、並且有規模的系統商了。如果我們知道,現在面對的資安威脅,是一整個駭客產業的威脅,是一個工業層級的威脅,我們不能期望簡單的專案外包或工作室層級的系統商,會幫助我們有效抵抗這種層級威脅。

而且,網站一上線之後,資安的維運是每一分每一秒的事情,是一個長期性不停止的工作,他不是買一個防火牆、裝一個防毒軟體就結束的事情。尤其像是上面談到的「阻斷攻擊」,是要有工程師們時刻做監控、調配機器、並且依據每次攻擊的型態,調整對應的策略的。

因為這是一種「攻擊」,而駭客是有「戰術」的,保護城堡不是只是靠一座城牆或護城河,有了這些防守的器具,還會需要操作他的人,你會需要有將軍跟軍隊,來對抗這些各種變化多端的攻擊方式。

留言

相關標籤

🛍️ 零售的科學 資訊系統資安產品發展