字級:

【3D解刑案】電商最怕「駭客出任務」 盜訂單個資騙你財

駭客常見的攻擊手法有三種,第一是「撞庫攻擊」、第二是「後台攻擊」、第三是「放置惡意檔案」,駭客可透過這些「遠端存取」方式,利用電商網頁設計漏洞,成功盜取民眾消費清單,轉賣給詐騙集團謀利。駭客有時已成功登錄某A電商網站,由於大部分人的帳號、密碼都設定一樣,因此會在一般民眾常消費的前30大或前百大電商網站去做攻擊動作,利用自動化攻擊程式針對網頁攻擊,看同一帳號、密碼是否能登錄進其他網站,此動作就叫「撞庫攻擊」。另一種攻擊方式是「後台攻擊」,許多網站有許多「可輸入的欄位」,如架設網站的資安業者建站時設計有缺失,駭客可能在訂單查詢上輸入駭客常用的字串即可攻擊。因網站會有「前台」、「後台」之分,後台就是儲存交易的資料庫,如果架站者沒有設計好,駭客可用特殊指令去撈取交易資料。第三種即是放置惡意檔案攻擊,駭客透過電郵、網頁先設計好惡意程式,透過公司高階主管名義寄送給全公司同仁,如果有人不小心點開此檔,惡意程式就自動植入該員工電腦內,駭客可透過遠端遙控,利用該電腦侵入公司伺服器。技術厲害的駭客可自行植入惡意程式到某公司伺服器內,自行開啟後進行他所想要的遙控指令。電商透過網路頁面販售許多商品,駭客最有興趣的就是「購物車」、「訂單資訊」、「訂單查詢」等項目,因為裏面可得知一些訂單頁面,如果駭客可以成功登錄,即可取得消費者訂單資料,駭客成功盜取後,就可把消費清單轉賣給詐騙集團謀利。為了攻入這些網路平台,駭客會使用「駭客工具」如駭客指令、編碼去登錄,或是取得大量帳號、密碼後,直接利用「撞庫攻擊」方式攻擊,這些方式都可取得交易個資。一般電商設計的登錄帳號、密碼頁面,如果沒有設計好它的帳號、密碼,或是沒有多一個防止「機器人」攻擊的驗證碼,這種網頁很容易遭駭客攻擊。網頁設計除帳號、密碼外,如果可增設第三個欄位,增加如「驗證碼」(多增加英文字大小寫、特殊符號、數字等),駭客要另外再編寫程式,可增加駭客破解困難度。刑事局指出,電商網頁如果能從兩個欄位增加到三個欄位,至少可減少一半被攻擊成功的機率。依過去實務經驗,駭客最常瀏覽的網頁項目,就是「駭客工具」、「惡意程式」最容易下手目標,尤其那些「可輸入欄位」是最容易遭攻擊的地方。駭客可直接在這些網頁後方網址,插入駭客事先寫好的編碼指令,即可成功儲取這個頁面,電商網頁的「我的帳戶」、「客服中心」、「訂單付款方式」、「退費處理」、「查詢密碼」等欄位常是漏洞之處。另一種駭客手法是在網路找尋電商主機後台,例如在網路上打出「XXXX後台」,或是與後台有關的英文關鍵字,有時就會跳出某電商的後台系統,如果駭客成功登錄後台,就可以在網站內「為所欲為」。由於後台很容易攻擊得手,駭客可用一些預設帳號測試,例如用「ADMIN」管理權限,駭客會以一些管理者術語登錄。由於GOOGLE有一個搜尋引擎,它會在全球網路上自動搜尋所有資料,「只要可以聯網的東西都是不安全的」,當聯網時,設備就需要一些防火牆、IPS、IDS來阻擋駭客攻擊,因為訂單頁面可能連線到7-11、黑貓,由於可入侵管道太多,因此電商業者很難阻擋。詐騙集團最重要的是手機、市話的電話號碼、與連絡人姓名,當消費者把購物車的訂單填好後,就會輸入到訂單資料內,當訂單開始出貨時,其中部分訂單內容如收貨人姓名、電話、地址等資料,也會傳遞給下一個業者,駭客就有可能從出貨處攻擊盜取,如果電商業者給下游物流、發貨業者的資訊,能把電話中的部分號碼「遮碼」(重新編碼保護),就可避免電話外流。電商另一個要注意的是「密碼設定」,一般要包含「英文大小寫、數字」,就可增加駭客失敗機率。由於駭客是先找到某個帳號後,再去測試它的密碼,接著再去找它的驗證碼,採層層突破方式進行,只要能增加它破解的程序、時間,就可減少被盜機率。消費者在逛網站時要特別注意下列幾點,第一是逛網站時的帳號、密碼不要點選「勾選」,因為民眾可能在咖啡、或用公用電腦上網,因現在的網頁會自動留下紀錄,點選記憶代表個資就會留在網上。另網路賣家都會有提醒「防詐騙」文字敘述,民眾接到任何要求你去ATM的電話,「絕對不要去操作ATM」,因為這些都是詐騙電話。(突發中心劉文淵/台北報導)
看了這則新聞的人,也看了……
【3D解刑案】電商最怕「駭客出任務」 盜訂單個資騙你財
【獨家】廉政官索回扣還串證 人贓俱獲被收押
【吊車尾片】基隆路平考核成績「丙」 林右昌不滿:因為拒絕評比


駭客常見的攻擊手法有三種,分別是「撞庫攻擊」、「後台攻擊」與「放置惡意檔案」。

駭客常見的攻擊手法有三種,分別是「撞庫攻擊」、「後台攻擊」與「放置惡意檔案」。

駭客透過「遠端存取」方式,利用電商網頁設計漏洞,成功盜取民眾消費清單,轉賣給詐騙集團謀利。

人氣(4515)