轉載:你我都是受駭者

轉載自天下雜誌http://www.cwbook.com.tw/common/magazine.jsp?productID=4377

這恐怕是台灣最猖獗的犯罪，但卻極少破案， 你我幾乎都是受「駭」者。
在台灣，平均每一個小時就有兩位民眾， 因為個人資料外洩，慘遭網路、電信詐騙。
台灣引以為傲的寬頻網路，是國際駭客眼中的肥羊 更是大陸駭客攻擊國際網站的灘頭堡。
小百姓、大企業，如何在數位時代中避免被「駭」？ 真實版的駭客任務，每天都在你我身邊上演。

二十二歲的ＲＤ，有著清秀臉龐，平常上學逛街都騎單車，就像普通大學生。回家之後，他搖身一變為功力深厚的駭客，竄改個人網路銀行匯款資料。

凌晨一點。高雄網友Peter謹慎登錄網路銀行帳號，準備把一萬元貨款轉帳到另一位網路賣家帳戶，再三確認轉入銀行代號、帳號與匯款金額三項最重要的資料，按下確認鍵，網頁顯示完成交易訊號。Peter安心就寢，渾然不知他的錢早轉到ＲＤ設定的人頭帳戶。

隔天，網路賣家氣急敗壞地跟Peter抱怨沒有收到錢，雙方在電話裡爭執不休。

偷天換日竊走你的錢

遠在台北的ＲＤ早已在Peter電腦裡，植入木馬程式，雖然螢幕顯示的匯款資料正確無誤，但ＲＤ已偷天換日，悄悄換成人頭帳戶，就算是銀行也不會發現資料已被竄改。

七月底，全球最大的拉斯維加斯駭客年會，光頭黑襯衫的駭客Jack在舞台上不斷敲打鍵盤，一旁的ＡＴＭ自動櫃員機就跟著他的節奏狂吐鈔，台下駭客狂鼓掌，銀行資安主管卻嚇出一身冷汗。

兩年前Jack購買兩台ＡＴＭ，研究入侵ＡＴＭ技術，利用隨身碟與遠端遙控軟體，就可以讓防護嚴密的ＡＴＭ自動吐鈔。

七月初的台灣駭客年會，某位大學教授帶領的團隊，也展示竄改悠遊卡儲值金額的新科技，只要一台小筆電與天線組，就可以在十公尺內，無線遙控偷偷修改別人的悠遊卡金額。

一般人以為銅牆鐵壁的網路銀行交易，在駭客眼中，卻是漏洞百出。更何況，駭客不太攻擊防禦能力超強的銀行主機，而是攻擊幾乎沒有防駭武器的使用者端電腦。當大家享受網路便利生活時，也陷入了「便利駭」的情境。

就算不用網銀，不在網路購物，你的個資也可以從其他管道流出。醫院掛號系統就是其中一個。 六十多歲的張媽媽罹患心血管疾病，在台北市某大醫院網站完成掛號手續，隔天上午看完病，下午就接到自稱看診醫師的電話，親切地詢問今天開的藥方是否好用，並且告訴她說，醫院還有特效藥，可以直接去ＡＴＭ轉帳買藥。

張媽媽差一點就被詐騙成功，「因為醫生連我拿什麼藥都知道，我當然會相信醫師說的話。」

六成以上是公司員工搞的鬼 你我幾乎都是被「駭」者。

在台灣，平均每一個小時就有兩位民眾，因為個人資料外洩，慘遭網路與電信詐騙的案件。 擁有龐大顧客資料的企業，即使安裝一層層防火牆，阻絕個資外洩，只是「外駭易躲，內賊難防」。

某位資訊安全顧問就透露，在他處理過的企業個資外洩案件中，超過六成是公司員工搞的鬼。例如，二○○九年六月東森購物八千多筆客戶資料外洩，查到最後，抓到自己的員工，但已經造成上百位民眾被詐騙。 兩年前，警政署刑事警察局破獲有史以來最大的個資外洩案件，超過五千多萬筆台灣民眾的個人資料外洩到全球，舉凡姓名、地址、電話個資，早就被國際駭客與詐騙集團看光光。

個資外洩造成詐騙層出不窮，恐怕是台灣最猖獗的犯罪，但卻極少破案，警政單位甚至要受害的個人或企業不要報案，因為抓也抓不到，就算抓到，也無法封鎖。為什麼？

許多非法盜取的個資，都存放在國外的網站伺服器裡，政府即使追到底，也無法索討回來，「只要資料一外洩，就會不斷地被複製，根本禁絕不了，」數聯資安研發處副總經理張裕敏提醒。

例如，東森購物外洩的客戶資料，任何人都可以上網搜尋到。每一個EXCEL檔有四千筆客戶資料，詳細到姓名、身分證字號、生日、住址、家裡電話、手機號碼、信用卡發卡行、卡號、到期日與購買商品名稱都有，「只要拿到資料，就可以進行網路購物，」資策會科法中心主任戴豪君說。

雅虎拍賣／購物中心、露天拍賣、PayEasy、博客來、東森購物、健保局……，都曾發生資料外洩，造成會員慘遭詐騙的案件，「只要你叫得出來的電子商務業者，全部都被駭客入侵過，」張裕敏透露。

全球殭屍網路第一─台北市 更無奈的是，台灣引以為傲的寬頻網路，儼然成為國際駭客眼中的肥羊，大量在台灣散布木馬與殭屍病毒，成為大陸駭客攻擊國際網站的灘頭堡。 你可能不知道，台北市是全球最多殭屍網路的城市（見小辭典）。根據賽門鐵克調查，台北市在一年內從亞太第一殭屍網路躍升為全球第一，每天有三十四萬部電腦被遠端的駭客遙控進行犯罪行為，而使用者卻渾然不知。 在資安網站（zone-h.org），每天都會更新駭客入侵各國網站資料，光是八月十六日當天，就有一九一○六個台灣網站慘遭入侵。

駭客集團走向全球分工與雲端運算，更讓警方難以追查。 最近兩年全球資訊產業掀起雲端運算風潮，但駭客早在五年前就已經躲在雲端了。 駭客攻擊的目標，逐漸從大型網站，轉移到性能強大、硬碟儲存空間大，但防駭能力最差的個人電腦。數以千萬計的個人電腦被植入殭屍病毒，就變成了駭客所掌控的一朵朵運算雲。

全球超過三成以上的個人電腦都曾中過殭屍病毒，殭屍電腦就像螞蟻雄兵，被駭客遙控，聚集攻擊某大型網站，癱瘓網路服務。殭屍電腦還會像細胞分裂一樣，不斷找尋下一個殭屍電腦「下線」。

「個人電腦變成殭屍電腦，根本無法清除，你不可能派出幾百萬個工程師逐一清除殭屍病毒，」駭客ｋ先生強調，除非你的電腦拔掉網路線，從此不再上網。

網路提供一個與朋友高度互動的平台，卻也拉近你與駭客的距離，再多密碼，遲早被破解。 年輕人喜歡把旅遊、聚餐照片等個人資料放在網路上，和朋友分享，同時卻也把自己「分享」給駭客。

「只要你把資料放到網路上，就有被盜的風險，」阿碼科技產品總監吳明蔚說。

一般人為了保護隱私，會刻意在不同網站「漏掉」填寫部份資料，以為這樣就能防駭，但駭客集團卻能夠把同一個人在數十個網站所填寫的資料，逐一交叉比對，「分析出姓名、生日、性別、聯絡方式、收入與家庭成員，完整描繪出你這一個人，拿這些資料來詐騙，」吳明蔚說。

個人防駭13招

1.裝置防毒軟體與個人防火牆。防毒軟體要勤於更新。電腦如出現不名軟體企圖對外聯繫，要立即關閉軟體。
2.電腦分級使用。最好將珍貴資料儲放在一台不連上網的電腦，上網時則換另一台電腦，並選擇有加密保護的隨身碟來存取資料，可避免隨身碟中的資料被偷。
3.不要同一套密碼走天下。一定要定期更改密碼，千萬不要用生日、電話、身分證字號等輕易取得的數字做為密碼。
4.不要使用P2P檔案分享功能。也就是連到別人電腦分享音樂、軟體等下載，因為你分享別人檔案時，別人也正在分享你的硬碟資料。
5.不要任意下載免費小遊戲。全球最大的社群網站臉書（Facebook）暗藏許多高風險資安問題，一些不知名的小遊戲與心理測驗伺機盜取個資。當你一按下「接受」，就等於把臉書上的所有個人資料都外流出去，連你的好友狀況都一併流出。
6.在網路上填寫資料，盡量不要留全名或完整資料。
7.定期塞一些假資料做測試。可在地址等資料留下特殊的寫法，做為檢驗個資是否被外洩的檢查點。
8.電腦攝影機鏡頭用貼紙貼起來。以防駭客用木馬程式竊取視訊攝影機的控制權，並從遠端遙控，進行偷窺並錄影。
9.網購的信用卡設最高金額限制。平常用來網購交易的信用卡，最好設定最高金額的限制，可減少被盜刷時的損失。
10.刪除檔案不是丟到資源回收桶就可以。所有看似被刪除、被丟掉的檔案其實都可以救回來，所以要刪除重要檔案時，一定要先刪除掉檔案的內容，方法是運用沒有用、不怕人知道的垃圾內容，用同樣檔名覆蓋掉原檔，以後就算檔案被駭客救活，內容也已被取代。
11.請直接鑿壞要丟的硬碟。曾儲存過重要資料的硬碟，要報銷摧毀時，請用物理性破壞（直接在硬碟打七個大洞以上）。
12.無線網路要設密碼。可防止被盜連。
13.手機不要下載不明的免費應用軟體。

小辭典 殭屍網路病毒 殭屍網路（BotNet），也被稱為「機器人網路」，BotNet病毒透過電子郵件、即時通訊軟體與電腦系統漏洞，入侵電腦。 殭屍網路病毒潛伏在電腦裡，會像蟲一樣在網路中慢慢爬行，主動找尋漏洞攻擊其他電腦，最後形成一個數百萬台的殭屍電腦網路，犯罪集團遙控殭屍網路，進行犯罪行為，發送垃圾郵件與攻擊網站。