2015网安新危机 医疗及零售产业遭锁定
信息安全的发展趋势,与科技应用的热门程度可说是息息相关。根据趋势科技最新发表的「2015年第一季网安报告」指出,医疗产业、iOS装置与销售柜台系统(Point of Sales;POS)已成为新兴的恶意攻击目标,正可对照当今智能医疗及智能零售的热门风潮,显然已经引起黑客的关注,相关产业业者不可不慎。
而在产品设备面上,移动设备不但一如往常的仍是黑客们锁定的目标,趋势科技网安团队发现,移动设备恶意威胁的成长幅度,更是以惊人速度大幅攀升,已于2015年第一季突破500万大关,其中又以恶意广告为移动设备排名最大的网安威胁,如在2015年3月份,Google Play就曾有超过2,000个App,可能含有恶意广告程序,Google也已开始移除可疑的App。
此外,恶意网站也成为用户最常误触的网安地雷之一,2015年第一季全球共有800万用户曾造访恶意网站,而台湾更是名列最常造访恶意网站的第四大国家。
医疗产业已成主要攻击目标
由于医疗院所使用的信息科技愈来愈多,信息安全已经成为医疗组织管理必须重视的管理重点,否则轻则导致病人敏感个资外泄,重则影响病人生命安全,都可能会造成医疗院所实质及名誉的重大损失。
医疗院所最重要的数据,莫过于病患的个人数据。如美国阿拉斯加州最大保险公司Premera Blue Cross及美国大型医疗保险公司 Anthem皆曾发生网安危机,超过9,100万的客户金融数据及医疗数据外泄。
今天如果是财务信息如信用卡信息外泄,金融机构跟用户只要尽快换发信用卡,就可以阻止犯罪者继续使用。但如果是医疗信息,就很难随时终止或更换,而且医疗数据往往记载着相当多最为私密的个人数据,犯罪分子不但可以用来伪造身份,在实体世界进行诈骗外,也可能因此升级成更严重的暴力犯罪如绑架及勒索等。
针对医疗院所的黑客攻击,甚至已经升级为国家级的网安威胁。根据卫福部的监控情形,光是一个晚上台湾遭受大陆攻击的事件就可达上万次,而且这些攻击可能会针对特定议题,攻击频率也集中在特定时期或事件,如卫福部部长每年5月要到日内瓦参加世界卫生组织会议的时间点前后,来自对岸的各种攻击数量从3、4月开始就会有明显成长,5月时达到尖峰,直到6月才会下降。
卫福部信息处处长许明晖指出,由于各个领域的用户都可能需要医疗院所的信息,因此医疗院所被攻击的原因,可说是五花八门。如曾有警察局为了要抓通缉犯,突发奇想,写出一个可以自动进入每个医院挂号系统的小程序,以便查验通缉犯是否有到医院看病,却被认定是网安攻击,造成虚惊一场。
实体零售POS成最新攻击目标
零售业一向都是网络攻击的主要目标,但趋势科技发现,如今连实体代理使用的POS,都已成为黑客的攻击目标。如恶意软件FighterPOS 在2015年2月底到4月初,就感染了大约113台的POS,其中90%以上在巴西,原因在于主要的受害者是Linx MicroVix或Linx POS系统用户,两者都是巴西流行的套件。但其他地区如美国、墨西哥、意大利和英国,也都有FighterPOS感染的证据,被窃取的信用卡号码超过22,000笔。
由于POS使用的操作系统的更新速度较慢,系统漏洞不易及时堵住,也因此许多老旧的恶意软件,仍然有机会侵入POS。如趋势科技就发现,2013年就已存在的恶意软件PwnPOS,目前仍可使用存储器撷取程序来寻找数据,并连到SMTP窃取有价值的信息。
但这并不代表零售业不会面临新式的网络攻击。如FireEye研究人员已发现一种透过垃圾邮件进行攻击的POS恶意软件NitlovePoS,它可以捕获和跟踪信用卡行为,并扫描已经感染的机器。黑客会先使用带有敏感字眼的邮件主题如找工作、空缺职位、实习、招聘、就业简历之类的方式,吸引用户打开信中的附件,病毒就会自动下载执行一个来自80.242.123.155/exe/dro.exe的恶意exe文件执行感染动作。
机器被感染后,恶意软件就会把自己添加到登录开机选项中。值得注意的是,NitlovePoS必须要设置正确的参数,才能正常运行,自动寻找与信用卡相关的信息,否则不会进行任何恶意行为。这个特殊设计有助于NitlovePoS可以躲过一些简单的安全检测,特别是那些针对自动化攻击的安全软件。
另一种一样也是以POS为攻击目标的恶意软件PoSeidon,会先加载Loader,试图留存在目标系统中,防止系统重启,之后就会联系命令与控制(command and control)服务器,接收一个包含另一个程序FindStr的URL网址,并下载执行。FindStr在执行后会安装一个键盘记录器,同时扫描POS存储器中的数码序列,如果经过验证,发现这些数码序列确实是信用卡号码,键盘记录和信用卡号码就会被编码,并发送到一个服务器。
PoSeidon不但会继续针对POS系统进行攻击,而且还会使用各种混淆手段逃避检测。只要POS攻击能够提供回报,攻击者们势必会继续研发更新的恶意软件,零售业者应该要保持警惕,并且使用最佳解决方案,保证POS不会受到这些恶意软件的攻击。
虚拟零售仍是最大规模受害者
但如果只看受害规模,零售网站还是最有可能被入侵的受害者。如台湾知名的丹堤咖啡,日前传出官方网站遭到黑客入侵,大约5,000笔的客户数据,包括帐号、姓名、联络电话、生日、移动电话、行业、住址等数据外泄,被刊登在俄罗斯网站上。
根据苹果日报报导,这些数据疑似在5月10日就已公布,直到被网友发现时,丹堤咖啡的会员数据已在网络上曝光近20天。丹堤咖啡表示,经过内部调查发现为委托钜潞科技代管的网站遭到入侵,这些个资并没有用在电子交易,只是用来发送促销信息、电子报,目前也已经更换主机,加强保全措施,同时发文国外网站,移除相关信息,并已报警处理。不过还是有消费者担心,个资被有心人利用,对此丹堤强调,如果消费者因为个资外泄造成损失,愿意接受求偿。
美国Target在2013年12月也曾发生个资外泄事件,最后总计外泄1.1亿笔个资,而且外泄的信息包括最重要的信用卡卡号数据,进而导致盗刷事件,引发140多起诉讼案件。
Target虽然是遭遇进阶持续性渗透攻击(APT),但黑客却不是直接攻击Target,而是先发送社交工程邮件到Target往来的空调业者与电冰箱业者,成功后再植入木马程序窃取这些供应商的银行帐号口令,再利用这批帐号口令数据,登入Target供应商平台网站,找出Target系统上的多重漏洞,利用上传功能植入木马程序后,来窃取Target系统的最高权限。
由此可知,想要阻挡现在的网安威胁,已经不再只是网安人员的责任,要保护的范围也不再只限于网络机房或重要的服务器,每一个连接在网络上的设备及用户,都可能成为被锁定的攻击目标。