2015网安新危机 医疗及零售产业遭锁定

实体零售POS已成为新兴的恶意攻击目标。DIGITIMES摄

信息安全的发展趋势，与科技应用的热门程度可说是息息相关。根据趋势科技最新发表的「2015年第一季网安报告」指出，医疗产业、iOS装置与销售柜台系统(Point of Sales；POS)已成为新兴的恶意攻击目标，正可对照当今智能医疗及智能零售的热门风潮，显然已经引起黑客的关注，相关产业业者不可不慎。

而在产品设备面上，移动设备不但一如往常的仍是黑客们锁定的目标，趋势科技网安团队发现，移动设备恶意威胁的成长幅度，更是以惊人速度大幅攀升，已于2015年第一季突破500万大关，其中又以恶意广告为移动设备排名最大的网安威胁，如在2015年3月份，Google Play就曾有超过2,000个App，可能含有恶意广告程序，Google也已开始移除可疑的App。

此外，恶意网站也成为用户最常误触的网安地雷之一，2015年第一季全球共有800万用户曾造访恶意网站，而台湾更是名列最常造访恶意网站的第四大国家。

医疗产业已成主要攻击目标

由于医疗院所使用的信息科技愈来愈多，信息安全已经成为医疗组织管理必须重视的管理重点，否则轻则导致病人敏感个资外泄，重则影响病人生命安全，都可能会造成医疗院所实质及名誉的重大损失。

医疗院所最重要的数据，莫过于病患的个人数据。如美国阿拉斯加州最大保险公司Premera Blue Cross及美国大型医疗保险公司 Anthem皆曾发生网安危机，超过9,100万的客户金融数据及医疗数据外泄。

今天如果是财务信息如信用卡信息外泄，金融机构跟用户只要尽快换发信用卡，就可以阻止犯罪者继续使用。但如果是医疗信息，就很难随时终止或更换，而且医疗数据往往记载着相当多最为私密的个人数据，犯罪分子不但可以用来伪造身份，在实体世界进行诈骗外，也可能因此升级成更严重的暴力犯罪如绑架及勒索等。

针对医疗院所的黑客攻击，甚至已经升级为国家级的网安威胁。根据卫福部的监控情形，光是一个晚上台湾遭受大陆攻击的事件就可达上万次，而且这些攻击可能会针对特定议题，攻击频率也集中在特定时期或事件，如卫福部部长每年5月要到日内瓦参加世界卫生组织会议的时间点前后，来自对岸的各种攻击数量从3、4月开始就会有明显成长，5月时达到尖峰，直到6月才会下降。

卫福部信息处处长许明晖指出，由于各个领域的用户都可能需要医疗院所的信息，因此医疗院所被攻击的原因，可说是五花八门。如曾有警察局为了要抓通缉犯，突发奇想，写出一个可以自动进入每个医院挂号系统的小程序，以便查验通缉犯是否有到医院看病，却被认定是网安攻击，造成虚惊一场。

实体零售POS成最新攻击目标

零售业一向都是网络攻击的主要目标，但趋势科技发现，如今连实体代理使用的POS，都已成为黑客的攻击目标。如恶意软件FighterPOS 在2015年2月底到4月初，就感染了大约113台的POS，其中90%以上在巴西，原因在于主要的受害者是Linx MicroVix或Linx POS系统用户，两者都是巴西流行的套件。但其他地区如美国、墨西哥、意大利和英国，也都有FighterPOS感染的证据，被窃取的信用卡号码超过22,000笔。

由于POS使用的操作系统的更新速度较慢，系统漏洞不易及时堵住，也因此许多老旧的恶意软件，仍然有机会侵入POS。如趋势科技就发现，2013年就已存在的恶意软件PwnPOS，目前仍可使用存储器撷取程序来寻找数据，并连到SMTP窃取有价值的信息。

但这并不代表零售业不会面临新式的网络攻击。如FireEye研究人员已发现一种透过垃圾邮件进行攻击的POS恶意软件NitlovePoS，它可以捕获和跟踪信用卡行为，并扫描已经感染的机器。黑客会先使用带有敏感字眼的邮件主题如找工作、空缺职位、实习、招聘、就业简历之类的方式，吸引用户打开信中的附件，病毒就会自动下载执行一个来自80.242.123.155/exe/dro.exe的恶意exe文件执行感染动作。

机器被感染后，恶意软件就会把自己添加到登录开机选项中。值得注意的是，NitlovePoS必须要设置正确的参数，才能正常运行，自动寻找与信用卡相关的信息，否则不会进行任何恶意行为。这个特殊设计有助于NitlovePoS可以躲过一些简单的安全检测，特别是那些针对自动化攻击的安全软件。

另一种一样也是以POS为攻击目标的恶意软件PoSeidon，会先加载Loader，试图留存在目标系统中，防止系统重启，之后就会联系命令与控制(command and control)服务器，接收一个包含另一个程序FindStr的URL网址，并下载执行。FindStr在执行后会安装一个键盘记录器，同时扫描POS存储器中的数码序列，如果经过验证，发现这些数码序列确实是信用卡号码，键盘记录和信用卡号码就会被编码，并发送到一个服务器。

PoSeidon不但会继续针对POS系统进行攻击，而且还会使用各种混淆手段逃避检测。只要POS攻击能够提供回报，攻击者们势必会继续研发更新的恶意软件，零售业者应该要保持警惕，并且使用最佳解决方案，保证POS不会受到这些恶意软件的攻击。

虚拟零售仍是最大规模受害者

但如果只看受害规模，零售网站还是最有可能被入侵的受害者。如台湾知名的丹堤咖啡，日前传出官方网站遭到黑客入侵，大约5,000笔的客户数据，包括帐号、姓名、联络电话、生日、移动电话、行业、住址等数据外泄，被刊登在俄罗斯网站上。

根据苹果日报报导，这些数据疑似在5月10日就已公布，直到被网友发现时，丹堤咖啡的会员数据已在网络上曝光近20天。丹堤咖啡表示，经过内部调查发现为委托钜潞科技代管的网站遭到入侵，这些个资并没有用在电子交易，只是用来发送促销信息、电子报，目前也已经更换主机，加强保全措施，同时发文国外网站，移除相关信息，并已报警处理。不过还是有消费者担心，个资被有心人利用，对此丹堤强调，如果消费者因为个资外泄造成损失，愿意接受求偿。

美国Target在2013年12月也曾发生个资外泄事件，最后总计外泄1.1亿笔个资，而且外泄的信息包括最重要的信用卡卡号数据，进而导致盗刷事件，引发140多起诉讼案件。

Target虽然是遭遇进阶持续性渗透攻击(APT)，但黑客却不是直接攻击Target，而是先发送社交工程邮件到Target往来的空调业者与电冰箱业者，成功后再植入木马程序窃取这些供应商的银行帐号口令，再利用这批帐号口令数据，登入Target供应商平台网站，找出Target系统上的多重漏洞，利用上传功能植入木马程序后，来窃取Target系统的最高权限。

由此可知，想要阻挡现在的网安威胁，已经不再只是网安人员的责任，要保护的范围也不再只限于网络机房或重要的服务器，每一个连接在网络上的设备及用户，都可能成为被锁定的攻击目标。