資訊安全:一場永不止息的戰爭
數聯資安技術處張富吉處長
在網路相當普及的現代,許多原本要親自到場辦理的事項,都可以透過網路在彈指之間解決。網路不僅讓我們克服空間的限制,同時也讓我們可以不受時間限制,無須在規定的時間內出現在特定場所,就可以輕鬆完成。以最近一年一度的個人所得稅報稅為例,納稅人若親自到稅捐機關繳交報稅資料,不單要排隊,也必須在稅捐機關的服務時間前往;但是透過網路報稅就不同了,無論大太陽還是雷陣雨都可以不受影響,輕鬆在家中利用電腦簡單的完成,而且無論白天晚上皆可,即使是最後一天晚上十一點都還是可以利用網路報稅,相較之下,最後一天稅捐機關服務時間只到晚上七點。這也難怪網路報稅開辦以來,到目前為止透過網路報稅的民眾比例已經高達六成以上。
透過網路進行雖然便利許多,但要辨認身分真實與否,就比一般臨櫃辦理難上許多,所以許多網路用戶都成為歹徒覬覦取財的目標。隨著網路銀行之開通,歹徒也把犯案方式轉移到網路銀行的轉帳功能上。雖然網路銀行對於非約定帳戶仍有單日最高轉帳金額的限制,但是歹徒可以透過病毒的散播入侵到個人電腦,再以側錄鍵盤和網路的方式,取得民眾的網路銀行帳號與密碼,從而進行多次小額的非約定帳戶轉帳,導致許多受害民眾存款遭盜領而受損失。追根究底就在於民眾對於個人電腦的安全防護意識不夠,因此我們必須想個辦法,而且是不經過電腦的方式,達到足以辨識民眾身分的目的。
有什麼方法可以不用透過電腦就可以通知到個人呢?將資料載明在紙本信件上,寄達民眾的通訊地址,是個好方法,但要花上的時間是以天計,時效性太差。另一個方法則是透過行動電話簡訊,將資料傳遞給民眾當初臨櫃登記的電話號碼,這正是目前許多網路銀行所採行的方法。登入網路銀行後,要將小額款項轉帳給非約定帳戶時,銀行會立刻透過簡訊方式將一組號碼發出,民眾必須在規定的時間內(通常是幾分鐘而已) ,將這組號碼輸入剛才轉帳的電腦畫面內,整個轉帳才算完成。若未在規定時間內輸入這組號碼,款項就不會轉出。只要登記的電話號碼是本人,這個方法就能有效的防止歹徒任意轉帳,即使歹徒取得民眾的網路銀行帳號和密碼,仍然無法完成整個轉帳程序。
以簡訊作為網路以外的第二個通知管道,是許多網路行為的驗證方式,包括網路銀行、線上遊戲與許多財務貨物交易,都仰賴這個方式避免遭歹徒詐騙。簡訊之所以受到信賴,在於只要電信公司與行動電話兩者未遭駭客入侵,整個簡訊傳遞過程便堪稱安全。不過,讓我們再仔細想想,真的安全嗎?我們現在手上拿的智慧型手機,真的安全嗎?
iPhone、Android 等等的智慧型手機,其實就是一台小型的電腦,雖然和我們一般熟知的PC 筆電不同,但仍然是一台功能完整的電腦,運算能力比起1980 年代剛問世的PC 有過之而無不及。既然PC 筆電都會中毒,當然iPhone、Android 之類的智慧型手機,也會成為駭客入侵的目標,想想看,取得民眾的網路銀行帳戶和密碼之後,只要再把病毒植入民眾手機監視所有簡訊,就可以完成整個轉帳過程,這當然是以驅動歹徒犯案的動機。
目前已發現SilentBanker 與Gozi 兩個病毒,能夠感染智慧型手機,當病毒成功感染電腦取得網路銀行的帳號後,會假冒銀行發出電子郵件給受害者,以保障網路銀行交易安全的名義,要求受害者輸入手機號碼、廠牌與型號。接著歹徒就會發送一則簡訊,要求受害者用手機下載憑證或軟體,才能完成整個保障交易安全的程序。殊不知受害者下載的,正是針對其手機廠牌型號設計的病毒,從此歹徒便可取得受害者手機收到的所有簡訊了。
多年前推出轟動一時的「侏儸紀公園」電影中,有一句名言:「生命會自己尋找出路」。這句話印證在本文介紹的案例再恰當不過。當銀行採用簡訊這種非網路的方式辨認民眾身分後,曾短暫阻斷了歹徒斂財的管道。但是歹徒必定也會找出一條新的道路,而設計病毒感染行動電話轉發所有簡訊,就是他們的出路。在與駭客的這場戰爭當中,沒有永遠的贏家,只有雙方輪流互佔上風,「道高一尺、魔高一丈」是這場永不止息的無聲戰爭的最佳註解。
最後更新日期:2012/06/19