2015資安新危機 醫療及零售產業遭鎖定 智慧應用 影音
蔡司
參數科技

2015資安新危機 醫療及零售產業遭鎖定

  • DIGITIMES企劃

實體零售POS已成為新興的惡意攻擊目標。DIGITIMES攝
實體零售POS已成為新興的惡意攻擊目標。DIGITIMES攝

資訊安全的發展趨勢,與科技應用的熱門程度可說是息息相關。根據趨勢科技最新發表的「2015年第一季資安報告」指出,醫療產業、iOS裝置與銷售櫃台系統(Point of Sales;POS)已成為新興的惡意攻擊目標,正可對照當今智慧醫療及智慧零售的熱門風潮,顯然已經引起駭客的關注,相關產業業者不可不慎。

而在產品設備面上,行動裝置不但一如往常的仍是駭客們鎖定的目標,趨勢科技資安團隊發現,行動裝置惡意威脅的成長幅度,更是以驚人速度大幅攀升,已於2015年第一季突破500萬大關,其中又以惡意廣告為行動裝置排名最大的資安威脅,如在2015年3月份,Google Play就曾有超過2,000個App,可能含有惡意廣告程式,Google也已開始移除可疑的App。

利用電子郵件植入木馬程式,仍是駭客主要的攻擊管道之一。DIGITIMES攝

利用電子郵件植入木馬程式,仍是駭客主要的攻擊管道之一。DIGITIMES攝

此外,惡意網站也成為用戶最常誤觸的資安地雷之一,2015年第一季全球共有800萬用戶曾造訪惡意網站,而台灣更是名列最常造訪惡意網站的第四大國家。

醫療產業已成主要攻擊目標

由於醫療院所使用的資訊科技愈來愈多,資訊安全已經成為醫療組織管理必須重視的管理重點,否則輕則導致病人敏感個資外洩,重則影響病人生命安全,都可能會造成醫療院所實質及名譽的重大損失。

醫療院所最重要的資料,莫過於病患的個人資料。如美國阿拉斯加州最大保險公司Premera Blue Cross及美國大型醫療保險公司 Anthem皆曾發生資安危機,超過9,100萬的客戶金融資料及醫療數據外洩。

今天如果是財務資訊如信用卡資訊外洩,金融機構跟用戶只要盡快換發信用卡,就可以阻止犯罪者繼續使用。但如果是醫療資訊,就很難隨時終止或更換,而且醫療資料往往記載著相當多最為私密的個人資料,犯罪分子不但可以用來偽造身分,在實體世界進行詐騙外,也可能因此升級成更嚴重的暴力犯罪如綁架及勒索等。

針對醫療院所的駭客攻擊,甚至已經升級為國家級的資安威脅。根據衛福部的監控情形,光是一個晚上台灣遭受大陸攻擊的事件就可達上萬次,而且這些攻擊可能會針對特定議題,攻擊頻率也集中在特定時期或事件,如衛福部部長每年5月要到日內瓦參加世界衛生組織會議的時間點前後,來自對岸的各種攻擊數量從3、4月開始就會有明顯成長,5月時達到尖峰,直到6月才會下降。

衛福部資訊處處長許明暉指出,由於各個領域的用戶都可能需要醫療院所的資訊,因此醫療院所被攻擊的原因,可說是五花八門。如曾有警察局為了要抓通緝犯,突發奇想,寫出一個可以自動進入每個醫院掛號系統的小程式,以便查驗通緝犯是否有到醫院看病,卻被認定是資安攻擊,造成虛驚一場。

實體零售POS成最新攻擊目標

零售業一向都是網路攻擊的主要目標,但趨勢科技發現,如今連實體通路使用的POS,都已成為駭客的攻擊目標。如惡意軟體FighterPOS 在2015年2月底到4月初,就感染了大約113台的POS,其中90%以上在巴西,原因在於主要的受害者是Linx MicroVix或Linx POS系統用戶,兩者都是巴西流行的套件。但其他地區如美國、墨西哥、義大利和英國,也都有FighterPOS感染的證據,被竊取的信用卡號碼超過22,000筆。

由於POS使用的作業系統的更新速度較慢,系統漏洞不易及時堵住,也因此許多老舊的惡意軟體,仍然有機會侵入POS。如趨勢科技就發現,2013年就已存在的惡意軟體PwnPOS,目前仍可使用記憶體擷取程式來尋找資料,並連到SMTP竊取有價值的資訊。

但這並不代表零售業不會面臨新式的網路攻擊。如FireEye研究人員已發現一種透過垃圾郵件進行攻擊的POS惡意軟體NitlovePoS,它可以捕獲和跟蹤信用卡行為,並掃描已經感染的機器。駭客會先使用帶有敏感字眼的郵件主題如找工作、空缺職位、實習、招聘、就業簡歷之類的方式,吸引用戶打開信中的附件,病毒就會自動下載執行一個來自80.242.123.155/exe/dro.exe的惡意exe文件執行感染動作。

機器被感染後,惡意軟體就會把自己添加到登錄開機選項中。值得注意的是,NitlovePoS必須要設置正確的參數,才能正常運行,自動尋找與信用卡相關的資訊,否則不會進行任何惡意行為。這個特殊設計有助於NitlovePoS可以躲過一些簡單的安全檢測,特別是那些針對自動化攻擊的安全軟體。

另一種一樣也是以POS為攻擊目標的惡意軟體PoSeidon,會先載入Loader,試圖留存在目標系統中,防止系統重啟,之後就會聯繫命令與控制(command and control)伺服器,接收一個包含另一個程式FindStr的URL網址,並下載執行。FindStr在執行後會安裝一個鍵盤記錄器,同時掃描POS記憶體中的數位序列,如果經過驗證,發現這些數位序列確實是信用卡號碼,鍵盤記錄和信用卡號碼就會被編碼,並發送到一個伺服器。

PoSeidon不但會繼續針對POS系統進行攻擊,而且還會使用各種混淆手段逃避檢測。只要POS攻擊能夠提供回報,攻擊者們勢必會繼續研發更新的惡意軟體,零售業者應該要保持警惕,並且使用最佳解決方案,保證POS不會受到這些惡意軟體的攻擊。

虛擬零售仍是最大規模受害者

但如果只看受害規模,零售網站還是最有可能被入侵的受害者。如台灣知名的丹堤咖啡,日前傳出官方網站遭到駭客入侵,大約5,000筆的客戶資料,包括帳號、姓名、聯絡電話、生日、行動電話、行業、住址等資料外洩,被刊登在俄羅斯網站上。

根據蘋果日報報導,這些資料疑似在5月10日就已公布,直到被網友發現時,丹堤咖啡的會員資料已在網路上曝光近20天。丹堤咖啡表示,經過內部調查發現為委託鉅潞科技代管的網站遭到入侵,這些個資並沒有用在電子交易,只是用來發送促銷訊息、電子報,目前也已經更換主機,加強保全措施,同時發文國外網站,移除相關資訊,並已報警處理。不過還是有消費者擔心,個資被有心人利用,對此丹堤強調,如果消費者因為個資外洩造成損失,願意接受求償。

美國Target在2013年12月也曾發生個資外洩事件,最後總計外洩1.1億筆個資,而且外洩的資訊包括最重要的信用卡卡號資料,進而導致盜刷事件,引發140多起訴訟案件。

Target雖然是遭遇進階持續性滲透攻擊(APT),但駭客卻不是直接攻擊Target,而是先發送社交工程郵件到Target往來的空調業者與電冰箱業者,成功後再植入木馬程式竊取這些供應商的銀行帳號密碼,再利用這批帳號密碼資料,登入Target供應商平台網站,找出Target系統上的多重漏洞,利用上傳功能植入木馬程式後,來竊取Target系統的最高權限。

由此可知,想要阻擋現在的資安威脅,已經不再只是資安人員的責任,要保護的範圍也不再只限於網路機房或重要的伺服器,每一個連接在網路上的設備及用戶,都可能成為被鎖定的攻擊目標。