駭客工業:在網路世界另一面真實存在的怪奇物語

駭客工業:在網路世界另一面真實存在的怪奇物語
Photo Credit: Shutterstock / 達志影像

我們想讓你知道的是

駭客不單只是組織運作,而是有上下游的產業鏈運作。像是上面的這些事件,通常都是一整個供應鏈運作的結果,而不只是個人駭客所為。

文:Happy Lee 李昆謀

駭客已經是一個產業。駭客不只是組織運作,已發展成有上下游的產業鏈運作的大型產業。在我們日常網路世界的「另一面」,有一個暗網在運作著,駭客工業在其中蓬勃的發展,每天用各種方式攻擊著我們的網路世界。平均每39秒會有一個攻擊事件,一個沒有保護好的網站一放到網路上,18分鐘就會被攻破入侵。

電商網站面臨的資安威脅

一般來說,電商網站最常遇到的資安威脅有:1. 個資外洩 2. 阻斷攻擊 3. 網站挾持 4. 偽卡盜刷,這些名字聽起來很厲害的資安事件,對品牌來說帶來的傷害更是厲害。以下的說明,是這些資安事件造成的「 結果」,不特別說明照成的「原因」,因為駭客的手法太多,原因是說不完的,因此只能以如果被駭之後的影響結果來分類說明。

  • 個資外洩

通常就是消費者的個人資料被盜走。

駭客可能盜走整個會員資料庫,拿去暗網賣錢;或者盜走整包訂單資料,然後詐騙消費者。他們會偽裝成品牌的客服,跟消費者確認訂單資料取信消費者後,再設法讓消費者轉帳。

這種個資外洩的資安事件,造成傷害的不只品牌自己,還可能會對許多的消費者造成傷害,也因為已經影響了消費者等一般民眾,所以政府單位也會主動介入,只要民眾通報的事件一多,政府就會把有個資外洩的品牌電商網站做公告,對品牌會有很大的商譽傷害。

而且,如果被駭客拿走的個資,是消費者的信用卡號的話,那麻煩就更大了。

  • 阻斷攻擊

透過巨量的殭屍流量同時間連上一個品牌網站, 讓網站負載過多而無法運作。

這就很像黑道電影演的,一個餐廳的老闆不知為何得罪了黑道,然後黑道大哥叫了一百多個小弟把餐廳坐滿,想消費的客人就沒有辦法進來(也不敢進來),讓你沒有辦法做成生意。這就是所謂的阻斷攻擊:用巨量假流量攻打網站,目的在於癱瘓網站系統,讓網站無法運作,也就無法產生訂單,無法做業績。

這種資安事件主要就是造成品牌在攻擊期間的業績損失。

  • 網站挾持

整個網站被駭客入侵,無法連線進去做任何的設定與管理,也就是整個網站的管理員帳號密碼可能都被換掉了,也就是整個網站被「狹持」了。通常駭客會用各種方法聯絡品牌,要求支付「贖金」,而且要在一定的期間以內,否則會銷毀整個網站或資料庫。

通常這種資安事件,簡單是付錢了事,但就算付了錢,也很可能最後整個網站還是拿不回來,也就是「撕票」, 如果品牌網站平時沒有做任何備份,很有可能是整個品牌資產的損失,包含會員資料與累積的數位資產。

  • 偽卡盜刷

用假信用卡號購買大量產品,最後品牌請不到帳款,一樣造成品牌的金錢損失。

駭客工業

如同上面所說,駭客已經是一個產業。駭客不單只是組織運作,而是有上下游的產業鏈運作。像是上面的這些事件,通常都是一整個供應鏈運作的結果,而不只是個人駭客所為。

例如有人專門設法竊取個資,然後有人專門買個資去詐騙;而有人專門取得卡號,有人專門去設法去盜刷換錢;有人專門去攻佔網站,取得管理員權限,有人專門買這些被攻佔的網站,一則去要求贖金、二則變成殭屍網路的ㄧ個節點,或攻打其他網站系統的跳板。

每天都有大量的交易在暗網上進行,無論是買賣個資、買賣網站節點、甚至各種攻擊服務,所有供需之間雙方彼此都是匿名,用比特幣交易。甚至還有明碼標價的套件包,讓駭客新手可以先試用,滿意後再付款,依據使用量計費。

因此資安的威脅才因此變得越來越嚴峻,駭客現在有時候不是為了錢,而是為了「好玩」。

截圖_2020-10-28_上午4_06_28
Photo Credit: Shutterstock / 達志影像

駭客新手村

在暗網,買1個帳號1元美金

暗網上有很多販售的駭客服務與駭客套件,有些甚至還免費試用,讓駭客新手很容易入門。所以當一個沒有太多防護的網站,被駭客攻擊成功,很有可能把你的網站打掛的,根本是一個隨便在暗網上,花了100美金買套件的高中生,而他的目的,只是因為好玩。

這也是為什麼,一個沒有防護的網站,平均18分鐘就會被打掛。每天網路上有太多駭客程序,一直在掃描著整個網路,尋找這些可口的「羔羊」們,因為需求量非常的大,這是一門很大的生意。

這是真實存在的暗黑網路,而且隨著時間累積越來越強大, 讓整個我們日常使用的網路每時每刻都籠罩在整個暗網的威脅,像是一般網際網路的The Other Side。網路科技是人類科技文明的里程碑,但在這個虛擬世界卻像中古大陸一樣的野蠻。

基本的防範建議

如果你意識到網路的世界是這樣的可怕,而你身為一個網站擁有者或經營者,請一定要有資安的意識。自己的家如果連門窗都基本都不上鎖,別人也幫不了你。

通常自己能準備的,最基本的,就是所有辦公室的電腦,都要安裝防毒軟體,並且一定要付費定期更新。大多數的資安事件,漏洞反而不是線上的網站系統,而是從連進網站系統做管理的辦公室個人電腦。

另外所有的重要帳號,不要設定無腦的密碼,例如「1234」、「password」,或是手機號碼。請盡量使用英數夾雜、含大小寫和符號,並且長度最好大於12碼。如果你的網站系統有支援OTP(一次性密碼)、或者兩階段驗證,請一定要開啟他。

讓專業的來:網站的系統商

至於網站系統的防護,就要靠有經驗、並且有規模的系統商了。如果我們知道,現在面對的資安威脅,是一整個駭客產業的威脅,是一個工業層級的威脅,我們不能期望簡單的專案外包或工作室層級的系統商,會幫助我們有效抵抗這種層級威脅。


猜你喜歡


新創盛會線上回歸,技術、經驗、創投全都包!7月15日AWS Startup Day現正報名中

新創盛會線上回歸,技術、經驗、創投全都包!7月15日AWS Startup Day現正報名中
Photo Credit:AWS

我們想讓你知道的是

AWS Startup Day 即將於 7 月 15 日重磅回歸,此次不只聚焦新創趨勢與數位應用,更聯合 AWS 創投新創媒合會,提供參與者豐富的資源,所有與新創生態系相關的夥伴都不容錯過。

隨著Web3.0去中心化的趨勢開展與現在進行式的產業數位轉型浪潮,雲端技術早已成為許多早期新創發展產品或服務的關鍵金鑰,甚至為其奠定高速發展的穩健根基。而台灣雲端服務供應龍頭 AWS(亞馬遜網路服務公司)更自Web2.0時代開始就從未缺席,始終在技術新知、應用實務等方方面面致力支持新創,其中最具代表性的免費論壇活動──AWS Startup Day也將於今年7月15日重磅回歸,在線上和參與者相會!

今年度AWS Startup Day持續聚焦新創趨勢與數位應用,精心規劃八場新創專題演說,非常適合長期關注新創生態系統的相關人士,或是正要起步、成長的新創夥伴報名參加。

立即報名2022 AWS Startup Day!

五大特色議程安排,給你滿滿新創觀點與技術乾貨

AWS_Startup_Day活動特色02
Photo Credit:AWS

「新創如何運用雲端科技打出一手好牌,投注資源延續未來業務?」這是今年AWS Startup Day欲探討的核心議題之一。為解答雲端科技之於新創企業的珍貴價值,AWS以「國際市場」、「創投趨勢」、「多元創業」、「雲端技術」、「焦點產業」等五大特色精心規劃講座內容,完整收錄新創趨勢脈動、雲端技術實務、佈局策略觀點與創投媒合等新創事業歷程的重要節點。為此,AWS不只力邀Web3.0、電商、串流、B2B解決方案等不同領域的新創合作夥伴,分享選擇AWS開展新創事業的策略考量,更毫不藏私地解析雲端技術如何快速又穩定的開拓事業。

議程02
Photo Credit:AWS

無論新創還是育成,想要洞見機會就不能錯過AWS Startup Day

活動對象
Photo Credit:AWS

任何產業或技術的發展,不單要前人的引領,也需要後繼者無窮盡的創新思維與打破框架的勇氣,缺乏其中一個環節,生態系都無法平衡永續。所以無論是天使創投、孵化器,還是剛起步或處於早期新創的企業,只要你身為新創生態系統中的一份子,渴望尋求創意突破或開展新興業務,AWS Startup Day都是你絕對不能錯過的最佳活動。

填單取得2022 AWS Startup Day 免費入場券!

尋找下一個新創獨角獸──同場加映AWS年度創投新創媒合會

本次AWS Startup Day除新創及創投相關講座外,AWS更直接邀請多家國際及台灣知名創投公司,與AWS Startup Day同場舉辦今年度唯一的線上「新創創投媒合會」,欲透過串聯本地深具潛力的新創與創投,幫助台灣新創企業獲得更豐富的資源,孕育下一個獨角獸。

根據AWS釋出的消息,媒合會將以早期天使輪或Pre-A輪融資為主,重點關注AI/ML工具和平台、智能零售、MarTech、Web3.0、媒體和娛樂等產業,並以快速輪流的形式替新創獲得最大的曝光。

立即報名2022 AWS Startup Day,共構台灣新創生態系統!


猜你喜歡