2009年10月26日 星期一

[觀點] 從購物詐騙事件談網站安全防護

最近,知名的電視購物與網路書店業者因資料外洩,遭到詐騙集團利用這些客戶資料與購物記錄來矇騙消費者,謊稱因不小心設定為每月扣款,要求消費者必須至ATM 提款機操作更改,在過程中伺機引導消費者轉帳至詐騙帳戶,造成許多消費者的金錢損失。

而另一家購物網站,則是遭到歹徒不斷地利用測試帳號和密碼的方式,企圖冒充購物網站會員的身份登入,這種手法有別於以往常用一些駭客工具來破解帳號密碼,而是先去入侵其他網站,在取得網站會員的個人資料之後,再採用人工的方式,到其他網站來逐次逐筆的輸入,如果該會員使用相同的密碼,很容易就會被入侵成功。

狡詐多端的資料拼圖手法

根據刑事局的研判,購物業者的資料會外洩,很可能是因為網站資料庫遭到駭客入侵,或是內部人員擅自將客戶購物資料外洩所造成。一般而言資料庫會遭到入侵,通常是資料庫本身存在著安全漏洞,例如主機未安裝系統修補檔、存取權限設定不當,或是存取資料庫的應用程式,有撰寫語法上的問題,使得駭客可以輸入惡意指令來獲得資料表中的內容。

若資料是經由企業內部人員攜出外洩,也顯示業者沒有針對客戶資料進行妥善保護,對於會接觸到客戶資料的相關人員,並未管制儲存設備如隨身碟的使用,更沒有進一步監控其透過網路傳輸的內容。當然其中最重要的一點,就是企業缺少了一個資訊安全政策,無法透過它來宣導並告知相關人員,維護資訊安全的重要性,以及違反資安規定的後果。

行政院研考會的調查則指出,目前已有近五成的網路族會使用電腦上網購物,如果因為網站業者沒有做好資訊安全防護工作,使得會員的資料外洩,導致它被用來進行電話詐騙,或是作為猜測其他購物網站的登入密碼,將會造成一連串犯罪的連鎖效應。

就像此次利用購物資料的詐騙行為,讓我們見識到利用虛擬世界(網路)登錄的資料,再結合實體世界(電話)的詐騙手法,已成為一種新興的犯罪手段,這種新的入侵手法,也被稱之為「資料拼圖」,它利用別處獲得的身份證字號(帳號)來搭配密碼組合,使得破解成功率大為提高,更可避免因為猜測次數過多,而遭到系統鎖定停用帳號,所以一旦順利猜中並登入系統之後,就可獲得此一網站已註冊的會員資料,最後再利用它來進行電話詐騙。

資料安全最佳實務─PCI-DSS

對網站業者而言,資料外洩除了造成客戶財物損失之外,更會對網站的聲譽造成重大的打擊,一旦消費者對於購物網站失去信心,拒絕在購物網站消費,那麼業者未來的損失更是難以估計。到底業者該如何防護網站的安全,除了諮詢資安專家的建議之外,由American Express、Discover Financial Services、JCB、Master Card Worldwide、Visa International等五家知名的信用卡業者共同組織的PCI Security Standards Council,所制定的「支付卡行業資料安全標準(PCI Data Security Standard;PCI-DSS)」,也可以作為電子商務業者加強資料安全的實務參考。

雖然,PCI-DSS標準主要是用來保護信用卡持卡人的資料,但其目的就是為了要保護個人敏感資訊,以確保電子商務的交易安全。因此,對於提供線上交易的業者而言,主動落實PCI-DSS中所明訂的各項要求,將可有效保護網站交易的各項資料。目前在PCI-DSS標準中,主要分為6大類及12項基本要求,簡要說明如下:

(一) 建立並維護一個安全的網路
   要求1:安裝並維護良好的防火牆配置,以保護持卡人的資料
   要求2:不使用設備出廠的預設值,例如管理密碼和其他安全參數

(二) 保護持卡人資料
   要求3:必須妥善保護持卡人的資料
   要求4:透過公共網路所傳送的持卡人敏感資料,必須加密

(三) 維護一個弱點管理系統
   要求5:安裝防毒軟體,並經常更新程式和病毒碼
   要求6:發展及維護安全的系統和應用程式

(四) 實施強而有力的安全存取控制措施
   要求7:依據業務需求,限制對於持卡人資料的存取
   要求8:對於進行資訊存取的個人,只賦予一個唯一識別碼
   要求9:限制持卡人資料的實體存取

(五) 定期監控並測試網路
   要求10:追蹤並監控存取各項網路資源和持卡人資料的過程
   要求11:定期測試系統安全與流程

(六) 維持一個資訊安全政策
   要求12:實施並維護一個資訊安全政策

網站與資料安全管理建議

企業除了參考PCI-DSS標準的要求,來加強各項網站與資料安全措施之外,在資訊安全管理方面,個人建議可以先從以下三方面來著手:
  • 系統(System) - 基本的網路系統防護,像是建置防火牆、入侵偵測系統等是一定要的,並且要定期針對系統進行測試掃瞄,以確認已知的系統弱點都已修補完成;而針對重要的應用程式,可考慮採取原始碼檢視(Code review)的方式,來檢查程式碼是否存在撰寫漏洞。另外,流量大且交易多的網站,還可以建置一道網路應用層防火牆,透過第七層的深入檢查,來確保惡意人士無法使用組合指令或參數攻擊手法,利用系統可能的漏洞來竊取資料。
  • 資料(Data) - 電子商務網站務必使用SSL的安全傳輸協定,可以確保資料在傳輸的過程中不會被竊聽,而針對敏感的個人與交易資料,無論儲存或傳輸,也必須採取適當的加密方式,以防止資料外洩。
  • 人員(People) - 企業必須確保只有通過合法身份驗證的人才可使用網路,一旦發現非法者就加以隔離處置,以避免其伺機存取內部網路資源。最好的做法就是根據業務的需要(Need to know),來限制人員對於客戶敏感資料的存取,換句話說,其他不相干的人,根本就不該讓他有機會接觸到客戶的敏感資料。
定期稽核找出安全漏洞

對於網站業者來說,一旦發現資料可能外洩時,就應該在第一時間內通知消費者,並且進行緊急處置工作,例如要求使用者盡快變更網站登入密碼,並且小心提防可疑的詐騙電話,以避免事件如滾雪球般愈滾愈大,進而造成更大的損失。另外,業者平時也要記得在網站上宣導,提醒消費者避免在許多網站使用同樣的帳號密碼,同時不要使用懶人密碼,這也會是一種最簡單有效的自保方式。

當然,除了導入適當的技術來協助之外,企業務必要定期進行安全稽核工作,從管理面來著手,以確保可能的系統漏洞都已經修補,並且合乎企業的資訊安全政策要求。另外,對於資料本身還要設定完整的追蹤監控機制,以了解到底是誰(Who)曾經存取過哪些(What)資料,作為日後可追查的證據之一。

最後,管理人員還需要去審查整個資料處理的流程,是否存在著商業上的邏輯漏洞,因為這種不牽涉到技術手法的入侵方式,往往更令人難以防範。(本文刊載於2008年3月號網管人雜誌)

沒有留言: