編按:隨著科技發展,我們的日常生活愈來愈依賴網路,但便利之中也隱藏著危機。網路攻擊不僅可能讓個資外洩、金錢遭竊,甚至能危害生命安全。舉例來說,駭客可能盜取網路銀行帳號內的存款,或遠端操控心臟節律器,導致病患生命垂危。這些威脅提醒我們,無論是個人用戶還是大型機構,都需要提高網路安全防護意識,避免成為攻擊目標。
透過網路盜走銀行存款
具惡意的第三方透過網路對他人造成損害的行為,就稱為網路攻擊。與我們切身相關的網路攻擊案例之一,便是透過網路非法盜取銀行存款。
網路銀行(線上銀行)就是透過網路提供金融交易服務的銀行。只要登入銀行的網頁,便能確認自己帳戶的存款餘額,或是進行匯款或匯兌。隨著網路銀行普及,現在紙本存摺逐漸遭到淘汰,愈來愈多銀行只提供電子存摺。客戶不用親自跑到銀行的櫃檯或ATM也能辦理各種手續,是一套非常便利的系統。
然而,網路銀行雖然方便,卻也是網路攻擊者(以下簡稱攻擊者)眼中的絕佳標的。舉例來說,近年日本便頻頻發生「明明沒有進行匯款,戶頭裡的錢卻在不知不覺間被匯給陌生帳戶」的案例。
2021年,日本發生數起透過NTT docomo電子支付服務「docomo帳戶」非法盜取存款的事件,受害金額約1800萬日圓。
在這起案件中,攻擊者先非法取得了被害人的個人資料,接著再用被害人的姓名開設docomo帳戶,然後與被害人的銀行帳戶綁定連結。
至於為什麼攻擊者可以做到這件事,這是因為docomo帳戶只要有本人的姓名和電子信箱就能申請,不需要確認本人的身分。
換句話說,申請者可以未經本人允許,冒用他人名義開戶。攻擊者便是利用這種申請機制,非法將被害人銀行帳戶的錢轉移到自己的docomo帳戶中。
網路銀行的攻擊事件,主要是透過釣魚這種詐欺手法進行。關於釣魚的手法,我們會在書中詳細解說。
心臟節律器被人操控
近年來,不需要醫生在場,可以連接網路從遠端治療或確認病患狀況的醫療器材日益增加。這類設備雖然很方便,但也跟其他IT系統或IoT機器一樣,遭受網路攻擊的風險也隨之提高。而且針對醫療器材的網路攻擊還有一個特徵,那就是潛在的損害非常嚴重。
2008年在日本的一場學術會議上,便有團隊發表研究指出,某款心臟節律器和ICD(植入式去顫器)存在著被駭客篡改病患資料、診療資訊及機器設定的可能性。
該機種原本就可以透過網路遠端調閱或變更上述資訊。而攻擊者也同樣可以透過網路竊取設備上的資料,或在未經授權下變更機器的設定。
擅自變更病患的資料,可能會讓負責管理ICD的醫師誤診。同時,變更機器上的設定也可能引發設備意外故障,危及病患的性命。
隨後在2012年,又有研究者在學術會議上發表報告,指出攻擊者可以透過網路攻擊讓心臟節律器或ICD發出電壓高達830V的電流。根據東京技能者協會的研究,25〜50V的電壓就足以致人於死,因此830V是一個非常危險的數字。
所幸直到2023年為止,還沒有發生過這一類的攻擊事件。然而,一旦有心人士透過網路攻擊實際奪取了醫療器材的控制權,就有可能危及人命。
從本章的介紹可知,網路攻擊造成的損害種類繁多。有些光靠個人的努力無法防範,例如針對公共運輸機構的攻擊;也有些只要個人的一個簡單行動就能防止,例如物理性因素導致的個資外流。
在Chapter 2中,為了更進一步深化大家對於網路安全的相關知識,並確實預防可以防止的損害,我們會一一檢視攻擊者的各種攻擊手法。
作者介紹|大久保隆夫
資訊安全大學院大學資訊安全研究科主任兼教授。曾於富士通研究所從事逆向工程、分散式開發環境與應用程式安全性的研究。之後在資訊安全大學院大學取得資訊學博士學位。現在擔任該校教授,專注於系統安全的研究。著有《圖解 全方位掌握安全性的基本知識(イラスト図解式 この一冊で全部わかるセキュリティの基本)》(合著,SB Creative,2017年)。
本文經授權轉載自台灣東販(原標題:超圖解網路安全入門:從基本觀念、網路攻擊手法到資安防護,一本全掌握!) (相關報導: 台灣又有網路詐騙新手法!已有很多人上當「痛失銀行存款」,這個平台一堆人愛用 | 更多文章 )
責任編輯/陳得馥
