文/劉虹君
隨著現代社會對於網路的依賴度越來越高,駭客儼然成為不可避免的話題。人們在生活上的必備夥伴就是手機和網路。舉凡密碼、錢、我們的照片和隱私都存在手機和網路上。那麼,誰來保護這些資料的安全呢?理論上,沒有一家公司可以說他絕對能夠保證我們的資料一定安全無虞,包括微軟或google等也做不到。新聞上有發生帳號被盜、信用卡客戶資料被洩密、民視YT直播遭駭客攻擊,2分鐘迅速移除影片之情事。除了民間企業公司外,就連政府單位也常被Hacker攻破,例如今年有2357萬戶役政資料外流。所以駭客問題是全民的重要課題,不然在未來的虛擬時代,我們所有人都是待宰的羔羊。
很多人對駭客沒有特別糟糕的印象,明顯危機意識不足。駭客有很多種類,有一種主要工作是破解,就是單純的駭客(Hacker的一種)。另外有黑帽駭客、灰帽駭客和白帽駭客。黑帽駭客以犯罪為目的,他們侵入系統和攻入網路,以盜取他人的信息和財物。白帽駭客,他們主要是保護網路安全,讓其他駭客攻不進來。
還有一批人,很難定義是黑帽駭客或是白帽駭客,所以被稱為灰帽駭客,他們通常都是以研究駭客技術為興趣的人,主要目的不是犯罪,只是單純沉浸在研究如何攻擊系統,像遊戲通關一樣,愛好挑戰。以上所述,灰帽大概率是比較厲害的存在。
駭客就潛藏在日常生活中
曾經有網友在臉書求助,自己上網想找電影來看時,突然跳出一個視窗寫「您的iPhone被Hacker(駭客)入侵了」,還說駭客將會追蹤手機上所有操作,呼籲使用者立即採取行動,跟著下載APP。
隨著人們的生活越來越數位化,從購物、社交、通訊、到電視欣賞和玩遊戲,現在都能透過桌上型電腦、筆記型電腦或行動裝置來完成。為了要享受這樣的便利,我們必須提供一些個人資料來獲得服務。不論是提供簡單的姓名和電子郵件地址,或者進一步提供更機敏的資訊,如:身分證字號和信用卡卡號,這些所謂的身分識別資訊 (PII) 一旦提供給他人,都有可能讓我們暴露在危險當中。駭客隨時都在覬覦這些資料,隨時都在想辦法竊取這些資料來讓他們獲利。
駭客會盡可能蒐集更多個人身分的相關識別資訊。這些資料包括:姓名、地址、出生年月日,以及一些更重要的資訊,如:身分證字號、銀行帳戶細節、信用卡資料、醫療保險等等。
另外網路帳號大多會記載這些資訊,當然,廠商會使用密碼來加以保護,所以駭客才會費盡心思想要猜測或竊取帳號登入資訊。即使是一些我們認為駭客不會有興趣的帳號,也可能為駭客帶來財富。例如,Uber 帳號登入資料就可能被駭客竊取之後拿到網路上販賣,而買到帳號的人就能免費享受其服務。又如Netflix 帳號登入資料被偷到網路上販賣,買到帳號的人就能免費使用這項影片串流服務等。
駭客甚至會直接駭入各大機構的網路,直接竊取個人資料。過去就曾發生過多起大型資料外洩事件,如: Yahoo (影響全球 30 億用戶)、雄獅旅遊員工電腦遭駭,約36萬筆消費者個資外洩。除了大型機構之外,駭客也可能針對個人來發動攻擊。有時,駭客會利用他們手上已經掌握的資料來製造一些網路釣魚攻擊。甚至,當駭客已經掌握某個帳號的密碼時,他們會試圖登入受害人在其他網站的帳號,看看是否在其他網站上使用相同的帳號密碼。
2023資安大調查
透過IThome資安調查,臺灣產業遭駭指數不斷上揚。企業平均近半年處於遭駭客攻擊的脆弱狀態,高科技產業甚至高達10個月的脆弱期。
iThome從2007年開始進行臺灣企業CIO的大調查,更從2018年開始,在CIO大調查中,同步執行了資安大調查,至今累積了2,391份(2023年參與調查有效問題達到407份),來自臺灣大型企業的第一手資安數據,每年約4百家,涵蓋六大產業,一般製造、高科技製造、服務、金融、醫療、政府機關與學校,其中有超過6成問卷是企業資安最高主管親自作答。
數位發展部資通安全署6月資安月報,政府機關之資安聯防情資共72,185件,第1名為掃描刺探類(48%),主要係外部主機執行掃描探測攻擊及外對內連線大量阻擋事件;其次為入侵攻擊類(24%),主要係網頁攻擊行為;以及政策規則類(11%),主要係單一帳號持續登入失敗。根據月報內容,發現Emotet殭屍網路攻擊活動持續增加,透過竊取受駭電腦之電子郵件資訊,包含曾發送過之電子郵件、政府機關人員姓名及電子郵件帳號等,偽造惡意郵件,如以電子郵件或政府機關人員姓名填入郵件內文或主旨,同時以附加檔案夾帶惡意程式寄送給政府機關人員,藉以擴散Emotet殭屍網路。每個月都有上百件通報事件。