艾瓦奇電腦資訊

專營電腦資訊系統維護委外(伺服器、主機、網路設備):1. 公司資料監控,防勒索病毒、資料外流 2. Linux、NAS主機安裝設定簽約維護 3. 隱身型企業級安全郵件(整合Google、微軟M365)。台中市太平區長安11街7巷35號 │ 24小時技術客服 0800-000-127。Copyright © 2024 艾瓦奇電腦資訊 All rights reserved.

艾瓦奇電腦資訊

改善企業資安架構,思科建議採用NIST框架進行規畫

周峻佑攝

資訊安全防護已經不再分企業的規模,即使是小型公司也可能遭受攻擊,因此思科系統工程經理Michael Lin認為,想要強化自身的資訊安全,企業可從美國國家標準與技術研究所(NIST)推出的資安框架(Cybersecurity Framework,CSF)著手,盤點企業的資安現況,找出需要優先著手改善的面向,他在Cisco Connect TPE大會上,講解企業應該怎麼運用上述的資安框架。

Michael Lin認為,企業必須隨時保持警戒,不能再存有僥倖的心態,認為攻擊不會發生在自己公司中。他引用了思科前執行長John Chambers曾經說過,世界上只有「已經遭駭」和「還不曉得已經遭駭」2種公司。由這樣的態勢,說明企業必須實踐資訊安全,同時也是在落實資訊的風險管理。

著手改善企業安全,需先規畫可行措施

然而,想要確實改善資訊安全,並非一蹴可幾,而是要透過妥善的規畫,公司的防護能力才能逐步有效得到強化。Michael Lin舉出了自己幫小孩架設樹屋與買車的例子,突顯事前規畫和評估的重要性。他因為在建置樹屋時事先進行相關的評估,並確認計畫的可行性再行動工,如今這個屋子已經完工多年,仍然相當堅固。

而在買車的例子中,所搭配的保險包含了最基本的責任險、全險,以及車碰車理賠保險項目等,這也導致車主所需付出的成本落差很大。因此,Michael Lin說,企業首先要問自己的是,要如何有效的管理公司的資安風險,於潛在的損失和進行防護的花費中,取得平衡?換言之,Michael Lin認為,企業必須評估自身的能力,規畫相關的資安防護措施才會有意義。

利用CSF資安框架,找出企業應強化的弱點

之所以Michael Lin建議企業參考美國國家標準與技術研究所的框架,他不只引用了美國現任總統川普與前任總統歐巴馬的說法,強調該框架對美國整體資訊安全的重要性,也指出CSF受到日本、英國、義大利、以色列等國政府採用。因此,這個框架的實用性已得到驗證。

CSF針對資安的5大面向進行探討--包含了識別與列管資產、採取的防禦措施、偵測威脅機制、攻擊因應,以及災害復原等。Michael Lin表示,企業可針對CSF列出的項目,進行現況的檢視,進而找出風險較高之處,再予以安排改善時程。

企業在盤點內部各項目的安全程度之後,便從最迫切需要改善的Tier-1著手,挑選要改進的項目。而非一口氣將未達到Tier-4等級的項目(Tier-2和Tier-3),予以同時進行。

要值得留意的是,Michael Lin說,資安無法一次到位,更因為企業的資源有限,不是想強化什麼就進行,必須評估要先改善的項目,甚至會出現無法一體適用的情況。因此,Michael Lin除了鼓勵資安人員立即開始著手找出適合公司的計畫之外,也要讓高層主管參與其中,甚至最好可以找資安公司討論,使得改善企業資安防護的計畫能如期實現。

資料來源:改善企業資安架構,思科建議採用NIST框架進行規畫

電子商務平臺當心!雙11銷售盛況背後暗藏灰色經濟,自動化攻擊盯上網購商品優惠或紅利累積點數,轉賣獲利竟高達5千萬元

圖片來源:

李宗翰攝影

近年來,中國電子商務平臺在年底舉行的雙11購物狂歡節,以2018年為例,單日成交金額達到人民幣2,135 億元(新台幣9607.5億元),然後,在熱鬧滾滾的買氣當中,卻也潛藏了一群伺機偷取商品優惠,之後透過轉賣牟取不法利益的顧客,而關於這樣的灰色經濟活動,隨著網路購物與特賣活動的規模日漸擴大,而有越演越烈的趨勢,在中國,對於積極收集商家優惠資訊、且經常分享給朋友的行為,稱為「薅(念作ㄏㄠ)羊毛」,而進行這些具有爭議行為的人們,被稱為「羊毛黨」。

隨著相關事件接連發生,有些資安廠商也開始注意到這股歪風,而決心揭露此事,提醒相關業者注意並採取必要的防範之道,以維護商家權益。

例如,在2018年3月舉行的臺灣資安大會期間,星盾科技(ForceShield)資安分析師賴婕芳曾以「中國羊毛黨來襲,你的優惠被吃掉了嗎?」為題,發表演講,她在分場議程當中,介紹這類用戶實際在中國與臺灣造成的問題,以及他們發動攻擊的流程、所用的各種工具,並且對於防禦的方式提供建議。

而在這兩年的雙11期間,「薅羊毛」的狀況有多嚴重?星盾科技創辦人暨技術長林育民,根據他們先後在兩家中國電子商務網站的持續監測,告訴我們最新的觀察結果。

以2017年的雙11為例,由於薅羊毛的用戶往往是成群結隊而來,透過ForceShield系統的機器學習分類和推斷之後,他們在一家電子商務業者的系統當中,總共發現有800組團體涉入其中,而可能造成的總損失,他們推估的金額是新台幣23億元

而在2018年的雙11期間,他們與另一家電子商務業者合作監控,總共發現了84萬個異常設備,都是經由智慧型手機來存取,其中有9成是Android系統,1成是iOS系統,而涉及的帳戶數量高達120萬個,占該公司參與此次網路購物交易帳號的10%。

而業者因羊毛黨造成的損失規模有多大?林育民表示,保守估計每個帳號可以套現46元,非法獲利總共是新台幣5千萬元以上,相當驚人。

分工趨於精細,薅羊毛已形成產業鏈

該如何破解薅羊毛的手法?首先,還是要從整體流程與人員的角度著手,而ForceShield目前已觀察到上下游之間的合作關係,以及不同人員所負責的工作。

這當中分成5種角色:領頭羊、駭客、卡商、打碼平臺、現金收入。

以領頭羊為例,負責訊息分享與尋找目標,主要工作是收集各個網路購物平臺的促銷活動,這麼做的目的是獲得相關「情報」;駭客的部份,負責尋找漏洞和製作專屬工具,主要工作是準備自動化攻擊的「武器」。

而這裡所謂的卡商,則是負責虛擬帳號的建立與收集大量個資,也就是進行大量的帳號註冊程序,並且運用已經外洩到網路上的消費者帳號、密碼、信用卡卡號、信用卡檢查碼(CVV),盡可能取得所有可操作的有效帳戶,也因此,薅羊毛涉及的用戶帳號濫用行為,有虛假帳號與盜用帳號等兩種類型。

至於打碼平臺,則是專門針對識別使用者是否為真人的身分驗證機制,提供破解的功能(也就是Anticaptcha,或是Captcha Solving),方便攻擊者自動執行網路購物平臺的多組帳號登入程序。

接著,進入實際的薅羊毛作業,攻擊者可根據系統與交易流程的漏洞,來進行網路購物交易,並且持續累積優惠與紅利。最後則是現金收入的階段,是指轉賣變現、協助銷贓等工作,也就是將此次活動所積存的各種優惠券、贈品、積分點數,轉賣給他人,設法變現。值得注意的是,羊毛黨有時也會跟一些參與促銷活動的商家事先串通,彼此進行合謀,並在事後協助這些人進行套現,令網路購物平臺業者防不勝防,造成嚴重損失。

攻擊者均透過智慧型手機來薅羊毛,但使用裝置的手法仍有不少變化

在薅羊毛的過程中,攻擊者雖然坐擁大量虛假帳號和盜用帳號,不過,在使用設備的方式仍有不同變化。正如上述ForceShield所揭露的數據所示,絕大多數是Android系統,少數是透過iOS裝置。這也意味著,攻入中國網路購物平臺的羊毛黨,採用的主要連網方式上,目前集中在智慧型手機,而不是透過個人電腦、網頁介面。

林育民歸納出下列6種手法:
●相同設備、不同帳號
●不同設備、相同帳號
●相同設備搭配多個IMEI碼,偽裝成不同設備
●用Android裝置偽裝成iPhone
●使用行動裝置模擬器
●使用iPhone改機工具

而對於攻擊者採用這樣的上網裝置,企圖在網路購物平臺上蒙混過關的態勢,業者必須要能提供公平、正常交易的環境,勢必要能夠識別,並且杜絕這樣的亂象,否則,長此以往,一般消費者可能不願意在這樣的網路購物平臺進行交易,因為,若是循規蹈矩地蒐集應有的紅利點數,反而成了傻瓜。

資料來源:電子商務平臺當心!雙11銷售盛況背後暗藏灰色經濟,自動化攻擊盯上網購商品優惠或紅利累積點數,轉賣獲利竟高達5千萬元

報告:全球PC安裝的應用程式有半數軟體已過期未更新

防毒業者Avast公佈一份PC安全研究,顯示全球PC上安裝的應用程式有55%是過期軟體,恐增加PC的資安風險。此外,15%的Windows 7因微軟技術支援到期曝險,即便升級到Windows 10也有9%的PC不那麼安全。

這份報告是Avast蒐集全球1.63億台PC的匿名資料分析而成。根據報告,所有PC上的程式中過期未更新版本的比例,由去年的48%升高為今年的55%。

在所有安裝的程式版本中,高達96%的Adobe Shockwave為過期版本,其次分別為VLC Media Player(94%)、Skype(94%)、Java Runtime Environment v6-8(93%)和7-Zip Filemanager(92%),6到10名依序是Foxit Reader、Adobe Air、InfranView、Mozilla Firefox及DivX Plus Web Player,比例從79%到91%。

報告指出,可能因為舊版程式不會再接收更新提醒,導致極高比例的用戶使用過期軟體。其中Java 6 到8版雖已不再更新了,但用的人還是很多。大部份Skype用戶停留在第7版Classic,微軟也未強制用戶升級到Skype 8。

研究人員提醒,應用程式不更新可能導致臭蟲和不相容問題,更重要的是,過期應用程式包括框架和工具軟體可能有漏洞,為安全起見應立即更新。例如2018年5月7-ZIP修補了一個可能引發DoS攻擊或嵌入於RAR檔案的惡意程式碼執行的RAR解壓縮邏輯的問題。即便較新的Java Runtime 10用戶都應該定期檢查更新。

此外,舊作業系統也會帶來資安隱憂。根據本研究的數據,2018年第3季老牌的Windows 7安裝比例由前一年的45%降到43%。但壞消息是,其中15%的Windows 7 PC跑的是RTM版本,另外還有1.5萬台PC用的是Beta版,由於微軟在2013年已經終止支援SP1以前版本,使這批用戶從此沒有接收到任何重大安全更新。

壞消息是,微軟將在2020年1月14日終止對所有Windows 7的技術支援。

同時間Windows 10比例則從35%升高為40%。但是在不同版本中,只有1709版以後的PC獲得完整安全更新,其餘版本,從1507、1511、1607到1703總共約9%的Windows10 版本都屬於過期軟體而有安全風險。

本報告另外指出,佔總Office版本比例15%的Office 2007也淪為較高風險群,因為微軟從2017年就不再釋出安全修補程式。

最後,若從安裝的框架及工具比例來看,以Microsoft Visual C++ Redistributable(89%)和Flash Player(79%)佔比最高。但微軟已不再支援的Silverlight仍有27%。研究人員表示使用者應詳細評估這些框架的必要性,如果不需要最好能移除掉。

資料來源:報告:全球PC安裝的應用程式有半數軟體已過期未更新

全球安全專家聯手解放近10萬個散佈惡意程式的網站,HiNet代管惡意網站數量名列第13

200多位安全研究人員宣佈,他們在一次全球合作行動中解救了將近10萬個被劫持來散佈惡意程式的網站。而中華電信Hinet代管散佈惡意程式的網站數也名列第13。

2018年3月底瑞士非營利安全機構abuse.ch發起了一個名為URLhaus的合作專案,旨在結合業界安全專家之力蒐集及共享散佈惡意程式的網站URL,再通知代管網站業者找出並協助修復由其代管被入侵、劫持的網站,十個月下來的成果是一共解除了近10萬個網站。

這項計畫中,265名參與的安全研究人員每天辨識並上傳平均300個散佈惡意程式的網站URL。URLhaus計算每天活動的惡意網站平均有4,000到5,000個。每個惡意網站平均活動期間達8天10小時又24分鐘,足以使它們每天感染數千台裝置。

在所有代管惡意網站的網路中,三分之二是位於中國和美國境內,其中最大的美國的Dititalocean,代管的惡意程式URL達307個。而中華電信Hinet數據通信事業部也以51個URL名列第13大。

研究人員也揭露了他們聯絡這些代管網站後,等到對方回應所花的時間。其中中國最大三個惡意網站代管網路,包括中國電信、中國聯通及阿里巴巴最慢條斯理,全部要等上超過1個月才會有回應,中國聯通甚至要2個月後才回覆研究人員。

全球散佈的惡意程式中,散佈範圍最廣之一是銀行木馬Emotet/Heodo,主要是藏在含有巨集的Office文件透過垃圾郵件感染用戶,但為了躲避過濾軟體偵測,這些垃圾郵件會以URL誘使用戶連向外部網站下載。URLhaus 10個月來蒐集到的38萬個惡意程式樣本中,以Emotet/Heodo最多,其次是木馬程式Gozi及勒索軟體GandCrab。

abuse.ch也呼籲擁有ASN、各國CERT(網路危機處理中心)、或擁有國家及地區頂級網域(ccTLD)及通用頂級網域(gTLD)者,應該訂閱URLhaus惡意網站的免費URL資訊。

 

資料來源:全球安全專家聯手解放近10萬個散佈惡意程式的網站,HiNet代管惡意網站數量名列第13