防駭
」 駭客
資安法上路五年 藍委質疑預算暴增仍難防駭客攻擊
台灣證券交易所、主計總處、憲兵指揮部、兆豐金與彰銀等45個網站遭親俄駭客攻擊,上周四下午陸續傳出當機、連不上網頁。政院要求數發部密切掌握應處,並表達嚴厲譴責,不過,國民黨立委葉元之卻發現,全國公部門資安預算連年增加,結果面對最基礎的DDos(分散式阻斷服務),政府機關卻依然不堪一擊,令人懷疑資安預算究竟用在哪裡?資安法從2019年元旦起實施,前總統蔡英文曾宣誓推動「資安即國安」國家戰略,還在政院下成立資安處、數發部,僅建立資安監控中心(SOC)和資安情資分享中心(ISAC)就花了納稅人25億資安專案經費,結果政府部門網站主機每次遇到網路攻擊,就依然「掉漆」。葉元之指出,以媒體披露無法連上網站的主計總處為例,112年主計資訊處編列3018萬預算,用來做機房維運、核心系統備援、主計資訊系統維運平台、網路設備、資安設備、個人電腦、印表機等週邊設備之軟硬體維護,本總處對外服務之全球資訊網、防毒軟體、資安監控防護及防火牆等更新維護。到了113年,系統與資安預算資訊服務費成長到4990萬,114年預算又再度膨脹到6483萬,近三年連年成長一千餘萬,結果資安依舊出包,這些數字還都沒有加計耗材預算與機房維運、網路費,真不知道資安成長預算到底都花到哪裡去了。葉元之進一步指出,網路上有很多資安公司推出的免費網路數位攻擊地圖,從這些工具可以發現每天全世界各地都有數以萬起的網路攻擊,但只要做好資安管理、定時更新軟硬體系統,理論上說,應可防範大部分攻擊,而且我國資安預算連續成長,政府對資安的投入和預算增加,原本應該帶來更強大的防護能力。但他質疑,從這次的駭客攻擊事件來看,政府機關似乎還沒有做好足夠的準備。如果預算不斷投入資安領域,但卻沒有產生實際效益,這樣的資安預算成長就顯得徒具形式,對國家整體的網路安全沒有實質幫助,資安預算究竟買了些什麼,用到哪裡去,他會嚴格把關,也呼籲國人一起重視。
避免移工卡淪為詐騙工作 NCC與電信事業合作打詐
國家通訊傳播委員會(NCC)於今(28)日邀請中華電信到會就該公司目前打擊詐欺措施進行專案報告,將陸續邀請台灣大哥大及遠傳電信到會說明。且已要求三家電信業者定期查詢移民署入出境資料庫、外國移工在國內使用SIM卡的情形,失聯移工也會有限制、暫停服務等相應措施,避免移工卡、黑莓卡變成犯罪工具。NCC說明,中華電信配合政府整體打詐政策,透過源頭堵詐積極落實電信門號之KYC風險管理,並已推出境外來話攔阻及語音警示機制、AI關鍵字攔阻惡意商業簡訊、2G偽基地台偵測等措施,獲得初步成效。該公司亦應用AI及ICT資通訊科技能力,研發相關科技應用服務,如AI電話秘書防詐、防駭守門員及Line Bot AI防詐隊長等,以協助民眾識別詐騙訊息,減少接觸詐騙之可能。另外NCC表示,中華電信也積極參與國際防詐組織GSMA Open Gateway計畫,規劃透過跨業合作開發開放應用程式介面(API)服務,以提供跨產業電信防詐相關應用。對於中華電信配合政府推行打詐措施之努力,NCC表示予以肯定。NCC表示,今日委員也與中華電信針對各項打詐議題交流,針對黑莓卡、移工卡等議題,希望加速介接有關機關資料庫,該公司回應預計9月底陸續上路;而對於NCC提出堵詐技術性議題,允諾將研析後書面回覆。NCC主任秘書黃文哲指出,過去香港聯通預付卡被拿來當作犯罪工具的件數蠻多的,未來會針對高風險電信事業進行評估,是否由165通報,是否構成高風險、後續案件處理,以及高風險係數進行綜合評估,近期也會對外公告,他強調,不是針對哪個地區、國家,而是對實務上已經發生才會進行公告。NCC配合行政院訂頒「新世代打擊詐欺策略行動綱領」之「堵詐」策略,於技術面、監理面及法規面已實施多項打詐作為,共同防詐電信詐騙。為配合「詐欺犯罪危害防制條例」施行,該會刻正與有關機關及電信事業共同推動相關配套措施,期導入科技防詐方式,強化門號之風險管理,並針對相關措施滾動檢討,以維護人民財產安全與社會安定。
OpenAI遭駭!公司裝死不願通報 員工提建言疑遭報復性開除
有外媒爆料指出,其實OpenAI曾於2023年遭到駭客入侵,但當時OpenAI高層認為駭客損害程度不高,所以並未依法向主管機關聯邦調查局(FBI)通報。但是面對到內部員工提出妨害的建言時,OpenAI卻反手將該名員工開除。根據《紐約時報》報導指出,整起事件發生於2023年初,當時OpenAI公司內部的論壇遭到身分不明的駭客入侵成功。該名駭客雖然並未觸及到OpenAI內部的機密文件,但是還是竊取了論壇內的大部分討論內容。而整起事件爆發後,OpenAI高層認為駭客所觸及的資料層級不高,再加上公司的網路安全基礎防護並未被攻破,所以並沒有依法向主管機關FBI通報此事件。但這起事件還是引起OpenAI一名研究員阿申布倫納(Leopold Aschenbrenner)的注意,阿申布倫納向OpenAI董事會發送一份報告,內容中主要是在警告,目前公司沒有完全針對駭客或其他「國家級支持」的威脅行為的防範AI模型防護技術。事後,阿申布倫納將這份文件的內容,在刪除技術與商業敏感內容後,便將其公開在網路上。但阿申布倫納此舉卻遭到OpenAI董事會的問責,最後在2024年4月被公司以洩密為由遭到開除。但阿申布倫納對於自己遭到開除一事,阿申布倫納還是認為這就是一起「政治性報復」,因為他直接在報告中嚴重質疑OpenAI是否有能力抵禦來自中國的駭客。但OenAI則否認這一說法,強調阿申布倫納的解聘與駭客事件無關。阿申布倫納也認為,目前OpenAI所建構的AGI,是個非常強大的技術,除了可以做很多事情外,也有足夠的能力去執行涉及國家安全的壞事。而駭客事件讓阿申布倫納敲響警鐘,認為現在多數的AI巨頭公司,尤其是在研究AGI領域的公司,都要去判別自己的公司防駭能力,要清楚知道是否能保護AGI的機密不被中國、中東獨裁者或是美國政府所掌握把空。
雲端包租公1/「伺服器在台灣,東京玩家先被砍」 是方要蓋承重2000公斤新IDC機房
「現在的雲端服務發展,主要可以分為兩種,如果是不常用的資料,那可以放在離用戶遠一點的伺服器,也就是main端,但如果是用戶常用的資料,那就要放在離客戶近一點的edge端,才能縮短客戶存取資料的時間,就像玩網上遊戲,如果伺服器在台灣,台灣跟東京的人在玩遊戲的時候,那東京的人會先被砍死,因為會有秒差。所以不同資料,依照使用頻率的不同,來決定要放在那邊的機房。」劉耀元深入淺出的說明雲端的差異。位於台北內湖是方電信的台北網路交換中心(TPIX)。而經過20年的努力,TPIX在全球的排名,已經從最早的200多名,在今年9月20日當天,終於擠入全球前百大。回憶是方切入IDC(Internet Data Center,網路資料中心)市場的起因,總經理劉耀元告訴CTWANT記者說,2000年在當時董事長邰中和規畫下,是方決定投資IDC,沒想到正要開始做,就發生了網路泡沫,儘管如此,公司還是認為網路未來仍有很大的成長空間,因此決定繼續推動,到了2002年才取得執照獲得資格。IDC就是一個大型的資訊及數據的儲存中心,其所提供的服務,第一為網路基本服務,包括提供企業用戶主機代管(Co-Location)、虛擬主機(Virtual Hosting)、機房共置與企業專線等服務;第二為網路加值服務,如網路管理與監控服務、防火牆、伺服器加速快取服務、網路流量分析、設施管理、網路健診、網管委外基本服務及防毒、防駭等安全管理服務。不過也因為當時網路泡沫,資金成為公司能否生存下去的重要關鍵,因此是方在2006年9月引入當時仍算是競爭同業的中華電信(2412)。劉耀元回憶,機房業者都有一種敵我意識,但是相較之下,是方是一個中立的業者,這也是是方得以說服中華電信的關鍵。是方旗下的台北網際網路交換中心(TPIX)經過20年的努力,今年9月正式擠入全球前百大交換中心。(圖/翻攝自是方電訊臉書)劉耀元指出,在以前沒有網路交換中心時,如果要連線到國外的網站,可能需要自己想辦法跟國外的業者連線,這樣的成本相當高,隨著網路交換中心,如TPIX的成立,因為交換中心有跟國外的交換中心進行連線,台灣的用戶就可以直接透過TPIX,連線到國外,業者需要的成本也跟著大幅降低。「是方IDC早期客戶都是電信公司,包括國內外都有,2002年台灣開放海纜,包括基隆、淡水、八里、枋山這四個海纜站,當海纜上岸之後,也都是用固網光線連結到是方內湖的IDC。」劉耀元充滿信心的說明是方IDC的關鍵角色。「TPIX在最近10年的發展比較快,主要是因為之前的客戶多是以電信公司為主,電信產業相對來說比較封閉,但是隨著匯流平台開始興起、發展,像是雲端服務、OTT等,這些業者他們反倒是希望有比較多的用戶,才能刺激他們的流量,連帶也讓是方的IDC客戶跟著增加。」劉耀元如此分析。位於內湖陽光街的麗源大樓,是是方的第一棟獨棟機房大樓,由於已逐漸不敷使用,是方在2021年1月通過興建新IDC機房「麗源2號」,原本的麗源大樓也被稱之為麗源1號,2023年3月舉行上樑典禮,預計2024年第一季完工,第二季開始貢獻營收。儘管已經有了20年的IDC機房營運經驗,對於麗源2號的投資案,劉耀元也是相當忐忑。「整個投資案達35億元,相當於我們7億元資本額的5倍,而且從設計開始,就是由是方規畫主導,跟之前都是改裝既有建物不同。」劉耀元說。因應客戶強烈需求,是方正積極興建新的第四座機房麗源2號。(圖/是方提供、翻攝自台灣網際網路交換中心官網)一般辦公大樓每平方公尺的承重是300公斤,廠房則是500公斤,不過國際大型雲服務業者的要求是1200公斤,「麗源2號」的承重則是一口氣拉到2000公斤。「從趨勢來看,機房重量乘載的要求會越來越高,而且從建築成本來看,從1200公斤拉高到2000公斤,增加的成本也不多,主要就是水泥跟鋼筋的費用,但卻可以滿足未來5年甚至10年的需求。」劉耀元說。高規格興建的「麗源2號」安全度有多高?「『麗源2號』的建築結構可以抗七級地震,而且在地下1樓還有安裝類似101大樓所使用的阻尼器,所以地震來的時候,麗源2號大樓反而比較安全。」劉耀元以抗震來比喻。目前東亞地區的網路交換中心,主要有4個,其中排名最前面的是香港網路交換中心,日本東京交換中心居次,第3的是新加坡交換中心,剛擠入全球前百名之列的台北交換中心則是暫居東亞第4。目前TPIX會員包括國內外知名機構等單位,例如中央研究院、Telstra,Singtel、Amazon、Microsoft、Google、IBM等等,都是TPIX的會員。劉耀源表示,儘管「麗源2號」還沒完工,但目前已接到的客戶申請進駐的機房數量,已經達到新機房大樓供電量的50%,預期明年第2季就可以貢獻營收,隨著新機房的加入,是方也設定,TPIX未來3-5年,要將排名再拚入前50名。
數位身分證浪費公帑逾10億元 藍綠交鋒互批
換發數位身分證政策因資安爭議難以續推,相關廠商向政府求償,未來若協調破局,總計逾10億元費用將由全民埋單,而藍綠雙方也為此交鋒;國民黨認為,當時負責該政策的副總統賴清德必須出面道歉,而民進黨則指稱該政策是從前總統馬英九起頭,這是藍綠共業。國民黨智庫召集人簡榮宗表示,數位身分證政策是賴清德在2018年行政院長任內推動,當時宣布2020年換發,沒想到這個草率決策竟掀起逾2000位的中研院學者、大學教授及資安從業人員連署反對。他說,數位身份證資安面防駭能力不足、應用面場景效益不明顯,又引發隱私保護疑慮等問題,行政院遂於2021年1月宣布暫停換發。簡榮宗說,當初以標案發包向廠商購買相關印製設備,再加上場地費、空調費,政府已花費3.9億元,在政策未恢復執行前,另須維持人事運作與機器維護所需經費,總計已花費5.24億元。他說,除已花費金額外,中央印製廠也正在與廠商協調違約賠償,廠商一開始求償10億元,後降至5.26億元,但央行認為賠償1.9億元才合理,但無論賠償多少錢,不都還是要民眾買單?「民眾拿不到新身分證,還得從繳納稅金來處理善後,真是莫名其妙。」簡榮宗批評,錯誤決策比貪污更可怕,一個基層人員收了幾萬元紅包,可能要坐牢;一個高官做錯一個決定,可能浪費國家10億元公帑,卻不用負責。他呼籲,賴清德應該出來面對,為自己錯誤的決策道歉。民進黨立委許智傑則指出,數位身分證政策從馬英九政府開始推動,到總統蔡英文時期已推動10多年,這是時代轉變產生的問題。他說,不只是龐大費用浪費,還牽扯資安、個資等人權議題,這是藍綠共同的歷史共業,應該一起承擔收拾這個爛攤子,未來如何更換身份證還需要更廣泛討論。
推特新收費制度上路 「藍勾勾」3/20起獨享簡訊雙重驗證防駭客
由於近來有駭客濫用推特(Twitter)的簡訊雙因素驗證(2 Factor Authentication,2FA),Twitter上周六(18日)表示,將針對其普遍使用的文字訊息雙重因素認證作出大的改變。之後只開放付費訂閱Twitter Blue用戶使用2FA方式來保護他們的帳戶,而非付費訂閱用戶將不再具有此項驗證功能。Twitter官方發推文宣布,已註冊的非付費訂閱Twitter Blue用戶將有30天的時間更改為其他方法。在下個月(即3月20日之後)僅「藍勾勾」Twitter Blue訂閱戶才能享用取得經「簡訊雙因素驗證」的高強度性隨機安全密碼。而未付費訂閱但仍啟用簡訊雙因素驗證的帳戶將被禁用。也就是說,若本身沒有加入Twitter Blue訂閱用戶並升級為取得「藍勾勾」標章的話,未來僅能透過第三方安全密鑰驗證器;而Twitter Blue訂閱用戶,則將享有獲得帳號安全的簡訊驗證碼專屬功能。據外媒報導指出,Twitter之所以針對簡訊雙因素驗證系統採取收費新政策,主要是電話簡訊的雙重認證方式正在被不肖業者濫用,使用機器人發送認證簡訊,造成垃圾簡訊與詐騙行為;老闆兼執行長Elon Musk也表示,因為電訊公司使用機器人來發送認證簡訊,並且推特每年因為詐騙簡訊損失6000萬美元(約新台幣18.2億)。附帶補充的是,Musk於去年入主接管推特社群平台後,大力推行Twitter Blue訂閱付費服務。Twitter這項新政策目背後也在試圖吸引更多用戶付費訂閱,此服務每月Android用戶要價8美元(約新台幣243元),iOS用戶則要價11美元(約新台幣334元);而原先免費給已驗證帳號的藍色勾號,也對任何準備付費的用戶採取開放。Twitter認為,取消此項選項將有助於減少對其平台由垃圾郵件發送者和詐騙者造成的影響。然而,停用簡訊雙因素驗證的用戶將不會取消將手機號碼和帳戶的連結,用戶可以在帳戶設定中更新電話號碼。官方一方面希望減少垃圾郵件發送者和詐騙對平台的影響,不過有些人對付費取得額外安全性的想法感到不滿,而另一些人則覺得這是確保他們帳戶安全的必要步驟。
郭承翔窮盡17年心血:看互動資通如何把簡訊變得不平凡,更晉升打詐國家隊一員
你是否有收到過來自親友或企業的簡訊?你可曾知道這簡訊背後藏有多少專業團隊的努力?作為國內最大的互動簡訊平台,互動資通董事長郭承翔説可別小看這則僅70字的簡訊,自2005年投入簡訊這項服務以來,團隊秉持著專注於企業對內、對外的溝通上,擁有超過一半以上的研發技術人員,確保服務的開發與維護,讓使用者能有更好的體驗,更在這逾17年間,取得了超過20項專利技術,讓這個看似簡單的簡訊以不平凡的角色存在你我的生活。發展至今,互動資通提供了市場包括參數簡訊、MMS多媒體訊息、OTP認證等各項服務,累積企業帳戶夥伴超過40萬家,如百大企業、銀行及政府機關等都是互動資通互動簡訊平台EVERY8D的客戶,共計發出超過百億則的簡訊量。「但我其實很痛心簡訊被污名化、淪為不肖人士的詐騙工具,」郭承翔真切地吐露他的心聲。或許現代人多仰賴社群媒體與親友聯繫,但企業與客戶間仍靠著簡訊服務成為彼此最緊密的橋樑。郭承翔説根據觀察,有8成消費者會逐一點開每則所收到的簡訊,其中更有將近6成民眾在5分鐘內就會閱讀,可見在資訊爆炸的時代,傳統簡訊仍是企業能快速傳遞訊息、並強化參與感的工具,正是因為擁有其不可替代性與高黏著度,讓簡訊成了詐騙集團眼中的「肥羊」,而作為全台最大、國際經銷商最多、每月需發送近2億則簡訊的互動簡訊平台,面臨的挑戰更大。#痛心簡訊服務被污名化,互動資通積極強化平台防騙實力「17年來時有警政單位找上門來,要求提供資料,協助追查透過簡訊溝通的交易糾紛案件。」郭承翔說,「只是疫情延燒後這兩年特別多,搞得我好像疑似詐欺共犯,常常要配合警政調查。」110年9至12月、111年6至7月是簡訊詐騙案件的高峰,其中也發現今年9月改以政府紓困貸款或補助的名義詐騙為大宗。雖說五大電信業者才是電信法及電信管理法的管理對象,但簡訊發送平台因介於通訊業與資訊服務業之間,非屬電信法規的管理對象,才使得不肖人士有了可以下手的空間。但看在一手培育簡訊多元發展的郭承翔眼裏,這樣的應用並非他所樂見,他不僅不希望簡訊這項服務成了消費者眼中人人喊打的過街老鼠,更不樂見互動資通簡訊平台成為詐騙集團的溫床,為了善盡企業社會責任,他表示除了積極協助與配合主管機關與各大電信系統攔阻詐騙簡訊外,更努力從多個面向著手強化互動資通簡訊平台的防堵能力,不只是想要守護民眾荷包,更想讓這個單純的簡訊服務能持續成為溝通互動生態圈裡,不可或缺的存在。一、技術優化防護金鐘罩郭承翔表示,互動資通今年積極配合主管機關與電信系統,從嚴格控管用戶帳號、配合電信過濾機制、防堵詐騙保障合法、特別審核海外來源及加強資安防止駭盜等五大執行重點著手,讓可疑停用門號數大幅下降,成功攔阻率相較高峰期有效減少95%以上。同時由於去年已進行門號申請實名制與雙證件身分核實,能有效預防人頭帳戶或代收簡訊認證碼的情事發生。他進一步說明,在技術人員的協助與打造下,互動資通配合警政機關與電信業者要求,在系統中增設了不少關鍵字進行簡訊過濾,能藉由AI辨識系統將可疑的訊息攔截,並嚴格人工審查帳號申請者背景,防堵詐騙集團利用人頭帳戶,保障消費者安全,為詐騙簡訊盡可能做到層層防護、滴水不漏的努力。此外,互動資通在資安上也採用國家級防災系統、ISO27001認證機房,擁有全天候自動防駭偵測,訊息的傳輸全程都經過SSL/TSL加密機制,嚴格控管資訊安全。二、政府攜手民間並肩作戰有鑒於詐騙手法層出不窮,郭承翔説有關單位不僅與民間業者共組對話群組,達到雙向溝通零時差外,也看見行政院在今年7月頒布新世代打擊詐欺策略行動綱領,結合內政部、國家通訊傳播委員會、金融監督管理委員會、法務部及各協辦機關成立「打詐國家隊」,通傳會更自今年8月起,密集召開協調會議邀請警政單位、電信業者及平台業者等,擬訂防堵對策,加強管控簡訊發送。郭承翔更明確表示,互動資通身為產業鏈的一份子,會持續與政府齊心防堵,共同打擊詐欺犯罪,除了配合政府任務執行需求外,近期也觀察到不少遭盜用的帳號會利用國外IP進行詐騙,團隊更開始限制海外可疑IP,重新進行檢核確認用戶身分,以降低詐騙風險,一同維護民眾安樂的生活環境。三、同業合作創造共榮共好而單靠互動資通以一已之力打擊詐欺是絕對不夠的,郭承翔表示團隊也進一步與相關業者合作,共同達到防堵詐騙簡訊的綜效。包括導入台灣網路認證的MID門號認證服務及資料核實,確認帳號者真實身分;抑或是與科技業者走著瞧公司(Gogolook)旗下的Who’s Call認證號碼與偽冒偵測系統進行技術合作,加強EVERY8D智慧簡訊發送平台偵測攔截詐騙簡訊及偽冒網頁的系統AI能力,有助將詐騙集團施行詐術的最前端工具予以斬斷,達到有效防堵之目的。#簡訊服務30週年,下一步要做Martech的後盾如此積極強化互動資通簡訊平台服務的安全性與防禦能力,「據警政單位表示,現在簡訊已經不是詐騙的主要管道。」郭承翔開心分享這個表現,近期SMS簡訊的詐騙案件數根據主管機關統計確實有顯著下降。「其實今年是簡訊這項服務問世的30週年,」郭承翔話鋒一轉的說了這個不為人知的小故事,參與了它的過去與現在、面對簡訊這項服務的未來,郭承翔也透露互動資通的團隊除了積極在獨家專利上持續領先業界,更將與旗下的另一個明星產品「team+」一起發揮綜效,在行銷科技(Martech)的這個時代下樹立簡訊服務的新典範。
證券電子下單帳戶限期改密碼 邵之雋:防駭治本須靠民眾做一件事
對於證交所下令證券期貨商等電子下單戶限期更改帳號密碼一案,金融法制暨犯罪防制中心董事長邵之雋強調,其實民眾只要做好一件事,就可以一起圍堵遭駭客冒名下單的資安破口,只要駭客取得客戶的帳號密碼管道沒有被打破,駭客永遠能取得新的密碼,要客戶修改密碼只能治標不能治本。金融法制暨犯罪防制中心也根據這些駭客入侵案件態樣,整理出可能的資訊安全的漏洞,提醒民眾也有責任,妥善保護自己的金融交易帳號密碼,勿外漏給其他App供應商等公司使用。金融法制暨犯罪防制中心董事長邵之雋表示,這一波駭客型態與傳統「撞庫」不同,而是駭客透過黑網等手段,在第三方服務等雲端平台(如供記帳、理財帳戶管理服務的App)取得記載金融帳戶資料,直接以本人的身分登錄。邵之雋強調,事實上,雲端服務益形普及的現在,資安已經是社會系統的一部分,駭客永遠能從「資安城牆」最弱的部分攻入,所以喚醒民眾的資安意識是最為重要的。要讓民眾充分了解到,個人資料安全跟錢財一樣,財不露白才能最大程度降低犯罪者的覬覦。何況從法律層面來看,如果透過資安鑑識民眾的帳密,是因為可歸責於己的事由露出,而非因金融機構系統漏洞而導致,所產生的損失可能就是要由民眾自行負責。邵之雋也指出,證券期貨商等金融機構在金管會、證券、期貨等公會等不斷透過加強拉高資安城牆,要求民眾登入系統、申請或更新憑證採多因子驗證機制,譬如說設定英文大小寫混合數字的密碼並且要妥善保管,禁止使用生日等容易外洩的個資,也勿將在銀行、證券商等使用的帳號密碼用在其他網站。邵之雋分析,國內金融機構的資安城牆已經努力架高,防堵駭客入侵,而且一旦看見有類似僵屍網路不斷衝撞系統異常案件時,即可及時觀察與進一步防範;然非金融機構公司的資訊安全防護等級,會像金融機構的資安城牆高嗎?就是民眾要考量的地方,再次提醒用於金融機構帳號密碼,不要提供給他人、其他公司,是自己能做到最佳的資安防護。
元大落難記3/道高一尺魔高一丈駭客天天攻擊 股民下單三招防身術免淪肉票
國內共7家證券商、期貨商通報「密碼撞庫攻擊」資安事件後,金管會等主管機關隨即高分貝提醒民眾,「勿用身分證、生日作為登錄帳密」,並要求業者清查「交易下單憑證」的防護力。CTWANT調查,各證券期貨商現也正趕工升級再加一層簡訊動態密碼「OTP」(One-time password),提高交易安全防護力。這次「1125密碼撞庫攻擊」事件爆發,令資安界十分傻眼。知情人士向CTWANT記者透露,「這次駭客攻擊成功,主要是有些證券、期貨商在採用兩道關卡的『登錄帳號、密碼+下單憑證』雙重驗證中,讓客戶登錄及申請憑證都可以使用『出生年月日』,才會在駭客蒐集到民眾的個資、帳號密碼後遭到破解。」「雙重驗證,這是最基本防駭之道,為何可以用『出生年月日』當密碼這種事,竟出現在受到高度監管的證券、期貨商。」這位資安專家不解的說。「其實金管會、證交所一直宣導業者須提高資安防護力,很多同業都是禁止客戶使用最容易遭外洩的個資,像是身分證、生日當帳號、密碼。」相關主管機關高層也分析說,「由於一直有客戶向券商、期貨商反映不擅長網路交易,希望帳號、密碼可以簡單些,才會開這道寬門可用身分證、生日完成下單憑證。結果出事了,業者也只能自己吞下損失的金額。」對此,元大證券強調他們在提供投資人第一道的「登錄」服務時,是禁用「生日」當作密碼。民眾網路交易愈加頻繁,愈加要留意陌生網址的優惠吸引,這是屬於一種釣魚取得個資的手法之一。(圖/翻攝趨勢科技防詐達人臉書)CTWANT調查,今年1月金管會、證交所、期交所等主管機關,就有要求證券、期貨商落實下單登錄時,應採雙因子(例如:下單憑證、綁定裝置、OTP、生物辨識等)認證防護機制。目前,券商網路、App等下單平台系統,基本上採取二道交易安全防護關卡,第一關是用戶人登錄的帳號、密碼,第二關交易下單憑證。11月底的密碼撞庫事件後,在金管會、證交所等強烈建議下,證券、期貨商已經在增設第三關的「OTP」,藉此加強交易安全防駭力。目前國內配合主管機關提供的「下單憑證」機制的安控廠商,主要為全景軟體、臺灣網路憑證這二家公司;看盤App設計廠商則以三竹資訊為最大宗。這三家廠商正將完成的「OTP」程式設計送至Apple、Google上架App更新系統審核中,這也是元大行動精靈App尚未恢復複委託電子下單的原因之一。趨勢科技資深技術顧問簡勝財跟CTWANT記者說,「網路交易的方便性與安全性,是天秤的兩端,如何取得平衡,考驗企業、消費者的智慧與人性」,「最簡單做好交易防護,其實就是最麻煩的作法「每一個網路、App平台登錄的帳號、密碼,都要不一樣。」趨勢科技資深技術顧問簡勝財提醒民眾,使用容易外洩的個資像是身分證、生日當帳號、密碼,雖是最便捷,但也最容易被駭客取得。(圖/趨勢科技提供)簡勝財指出,除了身分證、生日是很多人常用的帳密之外,現在也常見用Fb、Google、IG等社群平台帳號,輕易登錄許多網站,一旦密碼相同,遭到駭客取得外洩的個資,或者是透過網路釣魚手法,在民眾的電腦、手機植入木馬程式,側錄到民眾的帳號、密碼,就很容易讓駭客用相同的帳號、密碼去測試其他網站,一旦成功冒名做金融交易,即成為「密碼撞庫攻擊」資安事件。「大家也要留意,『OTP』也有可能是遭駭客偽造,有被騙取個資的機會,建議網路交易頻繁的民眾,可將常登錄及下單交易的品牌企業官網加到『我的最愛』,避免不小心或是未注意而登錄到陌生的連結與網站。」簡勝財提醒,「下載的App等系統,須隨著業者通知更新時做更新,因為每次更新,都有可能是業者在加強網路安全等級,另可透過防毒軟體等為電腦掃毒。」臺灣網路認證公司策略發展部則指出,駭客攻擊手法日益變種進化升級,可說是「道高一尺,魔高一丈」,天天與企業上演攻防戰,建議民眾可多參考資訊界常使用的三種「多因子憑證」,作為自己的帳號、密碼。第一類是用戶所知(What you know)因子,譬如說只有用戶自己個人會知道私密記憶,像是由個人設計的密碼等,身分證字號、生日的個資因為常在許多App使用,相對來說反而安全性低。第二類是用戶所擁有(What you have)因子,像是透過民眾的手機裝置、行動電話SIN卡發出的簡訊認證。第三類是用戶天生具有(Who you are)因子,即是每個人擁有的獨特生物辨識系統,像是透過掃描臉部、指紋識別等。
QNAP裝置成肉票4/獲報後即時攔截 威聯通:將持續積極處理
針對駭客事件,威聯通產品資安黃姓經理表示,接獲如梭世代通報後,4月16日就進行最新版正;Qlocker主要是針對尚未更新最新版HBS的用戶進行攻擊。他強調,威聯通接獲第一起Qlocker入侵通報時,就透過一些功能,讓還沒更新最新版HBS的用戶,避免遭受攻擊;即使用戶已被入侵,也會攔截解密代碼,協助用戶解密檔案。「未來我們會持續推出相關資安工具,並考慮強制加入更新,目前也積極與專門破解勒索加密軟體的國外人士合作,希望盡速替檔案全都被加密的用戶進行解密。」黃姓經理同時呼籲,用戶千萬不要支付贖金,以免助長駭客氣焰。刑事局科技犯罪防制中心主任林建隆表示,台灣的資安公司與技術人員深具實力,屢屢發現重大資安漏洞,「這次如梭世代主動將找到的重大漏洞,回報給廠商團隊,非常值得鼓勵,否則波及的設備及勒索金額,恐怕會遠遠超過目前的情況。」321備份原則 防駭客對於駭客而言,沒有不能入侵的OS(Operating System,作業系統),也不存在完全沒有漏洞的軟體,因此對使用者而言,平常須做好備援動作,許多資安專家都建議採取「321備份原則」。「321備份原則」就是要有3個備份,其中2個是不同儲存方式的「本地備份」,例如存在NAS、雲端或電腦硬碟;另外一個則採用「異地備份」,例如透過外接式硬碟存取資料。此舉可以避免駭客以單一手法,入侵所有備份檔,如此就能保存重要檔案。
上市企業遭勒索事件頻傳 資安專家:防駭如防疫
近來國內上市櫃公司遭駭客針對性勒索攻擊或者竊取機敏資訊事件頻傳,證交所遂明訂上市櫃公司發生重大資安事件時,必須發布即時重大訊息;為此逢甲大學EMBA也找來知名資安公司安碁資訊總經理吳乙南到場演講,希望這些企業中堅幹部能了解資安的重要性。總統蔡英文在就職演講時一再強調「資安即國安」,並將「資安卓越」列為台灣「6大核心戰略產業」,顯現出資訊安全對企業與國安的重要性,而在新冠肺炎導致企業加速數位轉型之際,企業對資安的需求更是逐漸提升。逢甲大學EMBA 1日特別邀請到台灣第一間以資訊安全服務為主的上櫃公司安碁資訊(6690)總經理吳乙南蒞臨演講,與逢甲EMBA的師生們分享「台灣企業對資安風險的認知與應變」,並由台灣思科(CISCO)策略長連顥尹擔任引言人。在演講過程中吳乙南依序介紹在世界各國發生的駭客攻擊案例與手法,直指企業如果不重視資安將影響到公司財損與聲譽,同時強調對企業而言,投入資安不是成本而是投資,因此企業每年皆應編列資安預算,並說明遇到駭客攻擊時企業要如何因應。在演講結束前,吳乙南更提到防駭如同防疫,提及落實資安防護的基本三步驟,包括:定期更換密碼(勤洗手)、勿點選不明郵件(戴口罩)、版本自動更新(量體溫)。
追蹤TREND、Avast 55家防駭公司 國泰參展力推網路資安ETF 00875
國泰投信2020年3月底成立的國泰網路資安ETF基金(00875),標榜為全台且是亞洲首檔聚焦防駭產業高純度資安海外ETF,股價從19.91元到今天收盤為27.12元。國泰投信張雍川總經理表示,為了讓更多人認識國泰網路資安ETF投資工具,國泰投信參展2020臺灣資安大會,為唯一參展的金融業代表。這檔ETF基金追蹤納斯達克ISE全球網路資安指數,一次網羅全球7大國55家頂尖資安公司,指數成分股涵蓋防毒軟體、防火牆、VPN技術、遠距視訊、特權帳號管理等公司。包括國人熟悉於日本掛牌上市的趨勢科技TREND MICRO INC.(4704.JP)也在其中,占比約2.25%,還有英國倫敦上市的Avast Rg(AVST.LN),美國的FASTLY, INC. CL A(FSLY.US)、CLOUDFLARE, INC.(NET.US)、ONESPAN INC.(OSPN.US)等。國泰投信參加2020臺灣資安大會,左起為趨勢科技總經理洪偉淦、國泰投信總經理張雍川、國泰投信ETF團隊副總鄭立誠。(攝影/李蕙璇)趨勢科技台灣暨香港區總經理洪偉淦指出,過去兩年來台灣企業受到目標是勒索案件頻傳,像是在製造、服務業等,一度受到影響中斷營運。企業主有事先備份時,可花些時間還原,不鼓勵支付高額贖金,以避免對方食髓知味故技重施。「納斯達克ISE全球網路資安指數」在計算全球上市的普通股中,致力於保護網路安全及防止駭客入侵等服務的公司之股價表現基準。包括服務提供商,如防毒軟體公司;或是設備提供商,如防火牆、路由器、交換機等生產商。至2019年11月29日,該指數有全球48支成分股,每季進行調整(三月、六月、九月及十二月)。今年以來,駭客事件頻傳,例如7月初傳出比爾蓋茲、巴菲特、歐巴馬等多位知名人士及蘋果等公司的推特(Twitter)帳號被駭,發出詐騙比特幣的訊息,受害人數多,聯邦調查局(FBI)及紐約州也都介入調查。台灣企業Garmin日前遭目標式勒索,部分服務一度中斷運作。(攝影/張文玠)無獨有偶地,台灣也有駭客事件,傳出民眾預購振興券,收到簡訊通知申請資料不符的詐騙簡訊,以及中油、Garmin等企業的部分服務受到影響暫停。根據行政院資通安全處的資料顯示,政府每個月被駭客攻擊的次數是2000萬次到4000萬次,平均每天遭到10萬次左右攻擊。研究機構Gartner預測,2020年全球資安支出金額將達1730億美元,而且2019年至2026年,八年成長率達70%,並且有7成企業今年將提升網路資安做為首要任務。
中油、台塑都被攻擊 調查局呼籲企業防駭
近來中油、台塑化陸續傳出遭惡意程式攻擊,法務部調查局資通安全處資安工作站溯源調查後,確認駭客來自海外,正深入追查,調查局同時呼籲企業做好資安防護,避免駭客入侵。中油、台塑化陸續傳出遭惡意程式攻擊,而且是鎖定基礎建設及高科技產業進行攻擊,調查局資安工作站追查發現,駭客是來自海外利用跳板模式進行攻擊,至於駭客身分,目前還在全力釐清。調查局同時公布駭客攻擊的路徑,呼籲企業加強資安防護,封鎖駭客入侵的機會。