國家衛生研究院電子報

國家衛生研究院電子報第 271期 2008-10-02

院務紀事
小心駭客就在你身邊-常見駭客攻擊手法及防護策略之介紹
Common tactics used by hackers and their preventions

在過去駭客以搞破壞、入侵電腦系統以炫耀自己的技術或達到成名之目的；然而現今的駭客則以獲取實質利益為目的，如去年多家知名電視購物台及網站購物平台遭不法份子竊取消費者帳號後，騙取消費者轉帳上當，或近期發生之五千萬筆個人資料外洩案件等，駭客多以竊取使用者帳號或個人資料以進行不法獲利之情事，常見的手法有「社交工程」、「網路釣魚」及「網站攻擊」等。依美國聯邦交易委員會及反網釣工作小組統計，在2006年網路詐欺造成的消費者財務損失估計在5億至20億美元之間，而近一兩年來網路犯罪案件更有增加的趨勢，對個人或企業莫不造成巨大的威脅及損失。以下將針對先前所述三種駭客慣用手法加以說明，並教導如何防範，以維護自身之權益。

社交工程手法
所謂社交工程（Social Engineering）泛指以欺騙手法取得個人隱私或組織機密資訊，或誘使被害人執行某種交易、動作以取得不法利益之行為；常以透過電話詐騙、E-mail、MSN、Yahoo即時通、部落格或網路釣魚（稍後將加以說明）等途徑誘騙使用者開啟含有惡意程式的連結、附件檔案、假網址或圖片，以散播病毒、竊取使用者電腦主機上之機密性資料（如玉山兵推資料外洩事件：軍官私自利用隨身碟將兵推資料帶回住處，但隨身碟已隱藏惡意程式，而導致資料外洩）或取得使用者個人帳號、帳戶以進行網路買賣行為（如拍賣網站多筆帳號遭盜用並偽裝成賣家販賣商品，被害人付款後卻沒收到商品）或轉帳盜取存款（如遺產轉帳事件，一位自稱律師的人，以電子郵件詐騙多位受害者，聲稱其親屬已過世，留下大筆遺產，請他支付遺產轉帳費、律師服務費，被害者不疑有他，便立即匯了款項)，甚而將所蒐集之機密性資料或個人資料販賣給不法集團以獲取暴利。

網路釣魚手法
網路釣魚泛指以社交工程或技術性的詐騙手法引誘使用者連結至假網站（通常會偽造知名網站，多半為拍賣網站或金融業網站，其相似度讓使用者無法分辨真偽），誘騙使用者輸入個人帳號、帳戶資料而從中竊取個人機密資料，或者於假網站中置入惡意程式潛伏在使用者電腦中，伺機偷取電腦內之個人機密資料，通常網路釣魚以下列常見手法散布或引誘：
1. 廣告信件：攻擊者利用標題聳動的垃圾郵件或以知名廠商或網站的名義發布郵件，在郵件內放置偽造的連結（如原有網站其網址中英文的O即以數字的0來替換，英文的l即以數字的1來替換），誘騙使用者點擊進入偽造的網站。
2. 縮網址：攻擊者利用部分網頁提供的縮址功能，來隱藏網頁的真實位址，再將假網址張貼至各大論壇與BBS上，誘使粗心的使用者點擊連結至惡意網站。
3. 網址置換技術：攻擊者利用程式置換掉網址列上的連結網址，讓偽造網站顯示在網址列上的網址與原本的官方網站相同，但其實已被置換掉了。
4. 搜尋引擎：攻擊者破解搜尋引擎的計算公式或買下關鍵字廣告，讓惡意網站的搜尋排名提昇，使用者一旦透過搜尋引擎去搜尋相關的關鍵字詞時，就很容易誤入釣魚網站。
5. 網址嫁接：向網路上的DNS伺服器提供錯誤的IP或透過植入惡意程式來修改使用者電腦內的hosts檔案，當使用者打開瀏覽器，準備連結至這些網站時，即被引導連結至攻擊者假造的網路釣魚網站。
6. 入侵正常網址：攻擊者透過入侵正常網頁，在網頁中植入惡意程式，使網站的瀏覽者電腦被植入惡意程式，藉以竊取個人機密性資料。

國際知名資安組織SANS也發布告警訊息：2007 年成為網路釣魚災害嚴重氾濫的一年；且國內相關的網站詐騙案件也有200%的年成長率；更值得我們國人反省及深思的是，在賽門鐵克發表的第十一期全球網路安全威脅研究報告中發現，台北市是亞太地區擁有最多釣魚網站的城市，全球有3%的釣魚網站架設於台北，可見網路釣魚在台灣氾濫的程度有多嚴重。

網站攻擊手法
駭客攻擊網站最常見的做法就是利用工具或Google搜尋引擎找出有弱點的網站後，再以置入惡意程式碼，或者取得該網站主機的主控權等方式，以竊取網站內機密性資料，或將該網站當作跳板去攻擊其他主機或網站以作為掩護，使其行蹤不易追查。在iThome第350期的雜誌內容發布了一則訊息：在5月16日一天之內，國內至少就有1萬個網站被植入惡意程式，而被植入惡意連結的網頁則高達10萬個；由此可見國內對於網站安全防護的認知還有待加強，畢竟在電子化交易時代，很多個人隱私的資料都存放在網站中，若網站被入侵了，個人權益也可能因此蒙受巨大的損失。以下是導致網站會被攻擊的常見原因：
1. 網站本身管理或設定不當。
2. 不安全的預設網站路徑及記錄檔案位置。
3. 管理者的密碼強度不夠或沒有定期更改。
4. 網站本身的身分驗證機制不嚴謹。
5. 不當設定讓使用者能存取任何網頁目錄。
6. 過於寬鬆的網頁權限設定。
7. 未刪除不必要之網站或虛擬目錄。
8. 網頁應用程式本身的設計錯誤，而有漏洞。
9. 網站伺服主機上的軟體沒有及時更新或修補漏洞，或軟體本身有漏洞。

個人防護策略
多數網路詐騙事件之發生往往是因為被害者本身警覺性不夠高，且對相關資訊安全防護觀念認知不夠，導致網路詐騙事件有逐年升高之趨勢，為確保個人電腦及個人機密性資料之安全，以下幾點為個人電腦或資料防護建議：
1. 定期更新：作業系統及所有軟體應定期更新（包含瀏覽器之更新），且不安裝來路不明之軟體。
2. 定期備份：定期備份重要資料及檔案，並經常檢視電腦中是否有運行不正常之程序。
3. 不輕易洩漏重要信箱：不可輕易洩漏業務用之信箱或重要用途之信箱，若因網站登錄需填寫信箱，則填寫不重要之信箱，確實做好信箱分級使用。
4. 信箱使用安全：不隨意開啟來路不明信件，並取消信件預覽功能及自動回條傳送功能；若信中有相關連結網址，需留意其目的位址是否為欲瀏覽網址。
5. 不隨意開啟郵件內之附檔（如.com、.cpl、.exe、. scr、.vbs、.pif或.zip等類型檔案），且盡量避免利用FTP或P2P下載未知來源之檔案或軟體。
6. 關閉不必要之資源分享。
7. 定期檢查關閉不必要之帳號及Guest帳號。
8. 安裝個人防護軟體：於個人電腦內安裝反間諜軟體、個人防火牆及防毒軟體，並定期更新病毒碼。
9. 加強密碼長度：所有使用之帳號（如電子郵件、網站登錄、Windows登入密碼等）其密碼長度至少為七碼以上，最好包含大小寫、特殊符號及數字等，並定期更換密碼。
10. 個人資訊勿隨意登錄於不明網站或透露給他人。
11. 勿隨意瀏覽不明網站，如色情網站及賭博網站等，或使用Firefox的防偽造網站比對功能。
12. 有關個人帳戶或帳號等隱私資料之相關來電或來信，最好作多重確認。
13. 使用經過加密的連線軟體，如SSH、putty等。

網站管理及防護策略
由於近來發生的五千多萬筆個人資料外洩及拍賣網站帳號被盜用等事件，多半是企業或網站經營者本身之管理疏失及缺乏相關資訊安全防護觀念所造成，以下提供幾個防護建議供網站管理者參考：
1. 需定期更新伺服器上之軟體更新及作業系統漏洞之修補。
2. 網頁開發程式撰寫時需注意安全程式的撰寫，如限定輸入集合、過濾特殊字元、檢查資料格式、進行程式碼錯誤處理、機密性資料或帳號密碼資料應進行複雜性加密、資料存取權限及網址路徑權限的設定、刪除不必要之虛擬目錄或檔案（如移除非同類型的應用程式）、設定robots.txt。
3. 於所有軟體或應用程式安裝時，應改掉預設密碼，並符合密碼複雜性原則。
4. 主機安全設定：設定強固密碼原則，更改預設值及關閉不必要的服務。
5. 需提供較嚴謹之帳號驗證機制。
6. 建立完整的防火牆安全防護機制，並啟動安全稽核機制。
7. 建立入侵偵測機制及主機監控機制。
8. 安裝掃毒軟體、垃圾郵件過濾軟體及掃描郵件病毒軟體。
9. 盡量將機密性資料放置於內部網路，並採取加密措施，且限定可存取資料的ip來源。
10. 定期作重要資料備份。
11. 定期進行主機及Web程式弱點掃描及滲透測試，並修補相關漏洞。
12. 禁止員工將院內相關資料攜出，並作好隨身碟等相關可攜式儲存媒體之管控。

打造一個可靠又安全的資訊安全使用環境需要靠大家的共同努力，以上的內容僅針對駭客常用的攻擊手法及防護措施作簡要的說明，欲更深入了解駭客相關攻擊手法及因應措施，可上資安論壇（http://forum.icst.org.tw/phpbb/）網站觀看相關文章。

（國衛院資訊中心亦提供同仁相關個人電腦防護檢查，網址為：http://faq.nhri.org.tw/，以及院內E-learning網站（http://elearning.nhri.org.tw/）瞭解社交工程攻擊方法與防治策略、駭客攻防實務。）

參考文件：
1. 2007iThome企業資安技術應用專刊
2. 資安論壇
3. 社交工程防制觀摩會-因社交工程衍生網路洩密案例報告
4. 數聯資安股份有限公司-社交工程的手法與趨勢
5. ZDNet新聞-報告：台北成亞太主要釣魚網站設立所在地
6. 國家資通安全會報技術服務中心-最新駭客攻擊手法展示
7. 國家資通安全會報技術服務中心-駭客攻擊手法分析及基本安全防護
8. 機器人來襲
9. 宏碁-社交工程攻擊方法與防治策略、駭客攻防實務：網站安全入侵、偵防實務之教育訓練投影片
《文：資訊中心劉金和主任、吳玓玲；圖：編輯中心》