俄羅斯網路安全防護公司卡巴斯基實驗室(Kaspersky Lab)16日公布《2014年的網路金融威脅報告》(Financial Cyberthreats in 2014),指出自2013年以來全球金融機構受駭客非法入侵系統損失的總金額已達到10億美元(新台幣314億元)。
卡巴斯基點出約有100間金融機構受害,多位於俄羅斯、美國、德國、中國及烏克蘭等國。目前部分證據顯示駭客集團根據地可能位在中國,但駭客常常設計假線索誤導調查人員,因此卡巴斯基還無法鎖定這場大規模網路犯罪的源頭。
卡巴斯基也認為駭客攻擊金融機構的目的是「竊取金錢而非商業間諜」並強調駭客「顯然非常熟悉金融機構的軟體和網絡模式。」特別的是,這波駭客行動是直接對銀行下手,而非從個人帳戶盜取金錢。
不少人可能覺得,既然受害者是財大氣粗的銀行,這樣的行為與俠盜羅賓漢有所雷同,但卡巴斯基研究專員科洛伐諾夫(Sergey Golovanov)仍提醒民眾,「銀行客戶仍有極高的風險被竊取個人資料,畢竟駭客能突破銀行的防護網,任意進入資料庫。」
釣魚式攻擊
此波駭客攻擊手段是俗稱「網釣」(Phishing)的釣魚式攻擊,當銀行員工點擊假的連結網址或信件附檔後,駭客便能從遠端追蹤行員進入銀行內部系統。有些駭客甚至能取得金融機構內部的監視錄影器影像,窺看員工操作步驟。
一旦駭客進入機構內部系統,便能恣意將金錢轉帳到特定戶頭或者操縱指定的自動提款機(ATM)在特定時間吐出現金,駭客在現身拿取即可。遭駭客轉移的金錢多流向中、美兩國帳戶,卡巴斯基補充。
受害金融機構的損失總額龐大,某家機構ATM被盜領現金730萬美元(新台幣2.3億元),網路轉帳系統則轉出1000萬美元(新台幣3.14億元)到駭客集團口袋。
卡巴斯基表示,駭客集團的目標地區也將從歐洲擴展至中東地區和亞、非兩洲,「這標示了網路犯罪的新紀元。」
防駭小撇步
面對層出不窮的駭客事件,資訊安全專家建議大眾隨時注意一些資訊細節,就能防範「網釣」。對美國銀行的客戶而言,採用聯邦存款保險公司提供的保險服務是最簡易的防盜領方法。當客戶欲從帳號提領超過25萬美元時,該公司會要求提領人至銀行櫃台提供存簿或存款證明單等文件核對身分。此外,民眾也應提高警覺,留意個人帳戶是否有可疑的提款紀錄。
由於網釣的「魚餌」-假連結與假附檔通常難以識破,養成謹慎的習慣便能降低受害機率。「我會建議客戶採取這些看似簡單的舉動。」安全意識培訓公司KnowBe4創辦人蕭維爾曼(Stu Sjouwerman)表示。首先,當信件看似發送自銀行,仍不應貿然點開附檔。而且民眾不該輕易點擊信件裡頭的連結網址,應使用搜尋網站搜索該資訊頁面。另外,如需提供身分證件字號或帳戶資料,盡量透過自己撥出的電話口頭告知。
隨著駭客問題持續擴大,金融業者的防護網也與時俱進。美國銀行家協會(American Banker Association)表示,駭客每成功竊取1美元就有10美元的詐欺被識破,意即駭客每一次得手都給予金融機構加強防堵資安漏洞的機會。但長遠來看,這場資安戰爭沒有盡頭。
