2016-07-11勒索軟體橫行之怪現象,金融業也淪陷
張貼日期:2016/7/11 下午 12:06:06
臺灣最重視資安的金融業,也難逃勒索軟體的威脅;而許多傳統公司老闆的電腦使用習慣不佳,結果就是,老闆一人電腦被勒索、全公司受害;另外,已經有高科技製造業全面禁用IE瀏覽器對外連網,大幅提高使用者連網安全性
使用者一旦被勒索軟體綁架,加密電腦中的檔案時,就得設法支付贖金以取得解密金鑰,但問題是,有更多時候就算付錢取得私鑰,加密的檔案也不見得可以完全被解開。
如果要說,今年臺灣民眾資安意識有那麼一點點提升的原因,跟勒索軟體的橫行一定脫離不了關係。
以往,不論資安專家講的多麼口沫橫飛,臺灣政府遭受多嚴重的APT(進階持續性威脅)攻擊,或者是大量民眾個資外洩,讓駭客能用資料拼圖手法進一步損害民眾利益,甚至是多嚴重的商業詐騙等,都很難讓民眾體會資安威脅到底有多嚴重。
但是,勒索軟體不一樣,能帶給民眾血淋淋真實的痛感,甚至讓民眾因此而意識到,原來資安跟你我是息息相關的。最近幾乎每個人或多或少都有聽到,身邊有朋友因為不小心,導致電腦中的資料遭勒索軟體加密了,可能是小孩照片,或公司重要檔案,因遭加密而無法讀取,造成了不同程度的實質損失。因為受駭對象就是你我身邊的親朋好友,每個人損失的幾乎都是日常生活中,最常用、最重要的資料,被駭的感受也因此特別深刻。
除了一般民眾受害,甚至連臺灣某銀行業者的臺灣分行及海外分行分行主管的電腦,從去年開始至今多次遭勒索軟體綁架檔案,連該銀行資訊部門高階主管都受害。連臺灣最重視資安的金融業都遭勒索軟體攻擊,更可證明,臺灣已淪為勒索軟體之島了。
惡意網站加上沒有更新的電腦,擴大勒索軟體加密電腦檔案危害程度
許多人受害都是因為瀏覽一些不安全的網站,像是一些中國網站、色情網站或者是一些免費下載網站的網站,也會有人因為看到一些「抽獎」問卷,被利誘填寫問卷的同時,使用者無意之間就在背景程式中下載了這些惡意的勒索軟體。
除了瀏覽不當的網站頁面外,造成更嚴重傷害的其實是,使用者瀏覽正常的網站,卻因為網站被轉址到惡意的網址後,使用者無意間就下載了惡意了勒索軟體在電腦中,假若相關的電腦系統或應用程式沒有更新到最新版時,就可能因此觸發勒索軟體的執行。
讓人最無奈的關鍵在於,這些看似正常卻大量散布勒索軟體的網站,有很多因為是許多行業和民眾經常使用的必要網站,資訊部門同仁甚至不敢封鎖該網址,間接加深勒索軟體蔓延的速度和危害的程度。
目前也已經證明,惡意網址其實是造成臺灣勒索軟體橫行一個很關鍵的因素,據了解,從今年一月~三月左右,鉅亨網的網站被植入惡意程式;其他像是股票行情網站StockQ也同樣被植入惡意程式;住房網從今年一月~四月,也有上百人因為瀏覽該網站,被導到惡意網址而被植入勒索軟體。
雖然目前這些網站都已經默默修復,但在受害期間,因為這些網站有其必要性,但卻因為外界都不知道該網站是散布勒索軟體的「間接兇手之一」,都可能擴大受害的使用者人數和範圍。據了解,也有多次遭到勒索軟體危害的銀行業者,最終不得不採用封鎖使用者瀏覽上述網站的方式,以減低勒索軟體的危害。
此外,今年六月初,因為臺灣雅虎奇摩網站的網路廣告播放平臺中,所播放的網路廣告被植入惡意連結,導致只要剛好瀏覽雅虎奇摩首頁且正好輪播到惡意網路廣告,而且使用者的電腦Adobe Flash並沒有更新到最新版時,就可能因此中標,電腦檔案就可能因此被勒索軟體加密。
臺灣這一波因為雅虎奇摩網站的惡意網路廣告,而遭到CrypZ勒索軟體加密檔案危害者眾,雖然沒有詳細的受害者統計數據,但引述一位資安業者的參考數據,先前每天大約有500封~600封左右的電子郵件是勒索軟體相關的求助信件,現在則減少到每天大約50封左右。
臺灣最重視資安的銀行業,也成為這波勒索軟體的受害者
整體勒索軟體受害的災情看樣子減輕不少,但每個人受害的威脅程度卻沒有因此減少,更有甚者,臺灣也傳出有某銀行業,包括臺灣分行以及海外分行的行員電腦,從去年開始,每個月至少傳出1~2次有行員電腦,陸續遭到勒索軟體加密檔案的災情,甚至於,還有同一名分行主管的筆記型電腦,更是多次被勒索染體綁架,整臺電腦的檔案都被加密。
對於金管會銀行局而言,勒索軟體並不在該單位主要檢查稽核的項目中,即便被查到有該項事實,頂多只是記一個小缺失而已,銀行不痛不癢之外,甚至於,也傳出該銀行資訊部門最後選擇直接將電腦重灌的這種最省事的解決方式。
金融業其實是臺灣最重視資訊安全的重點產業之一,不僅多半有配置相關的資安人員,也願意投資相對應的資源在資安防護上。但從這個例子看來,銀行看來對於防範勒索軟體的威脅是束手無策,對銀行而言,多年的資安防護體系,則活生生被勒索軟體打穿,甚至於,連資訊部門的高階主管電腦也都受害,也讓人對於銀行業如何輕忽勒索軟體威脅,感到不寒而慄。
除了銀行業外,也有聽聞傳統產業面對勒索軟體的怪現象。有某傳統產業的老闆,因為想要隨時知道公司的營運資料,所以老闆自己在家裡有一臺跟公司即時同步的檔案伺服器,只要公司營運資料有任何更新,不刻間,老闆家中的檔案伺服器也會有最新版本的資料。
傳產老闆家中和公司電腦的營運資料,同步被勒索軟體加密
只不過,某一天,老闆的特別助理發現,老闆的電腦跑起來特別慢,說時遲、那時快,原來老闆的電腦已經中了勒索軟體,正在把老闆家中的電腦進行加密中;更慘的事情是,因為老闆的檔案伺服器和公司的檔案伺服器是同步的,當勒索軟體加密完老闆家中的電腦資料後,連公司電腦的資料也都同步被加密了。
誇張行徑不只如此,中了勒索軟體後,總共有超過13萬個檔案被加密,因為這些資料都非常重要,老闆要求資訊主管找專家來解密,而資安專家在老闆家中的電腦進行數位鑑識和解密的過程中,則被要求要穿上類似無塵衣的裝扮,擔心資安專家在鑑識和解密的過程中,會有灰塵不小心破壞被加密檔案的完整性而無法解密、無法復原。
據該名資安專家說法,在解密一個多星期的時間,目前大概只有大約3~4萬個檔案被解開,這些可以被解開的檔案,是很幸運,在老闆特助發現老闆電腦不對時,立即拔網路線、關電腦,只被加密一次的檔案,還有解開的機會;其他近十萬個檔案,甚至出現被雙重加密的檔案,是無法被解開的。
資安專家也指出,因為這次損失的營運資料是非常重要的資料,受害的老闆在第一時間,就已經要求他老婆付贖金,大約折合新臺幣五十多萬元,但是取得檔案解密的私鑰後,並無法把檔案完全解開,也沒有辦法和駭客有進一步的聯繫,只好設法另請高明提供解密的協助。
高科技製造業釜底抽薪,評估半年對外連線全數改用Chrome瀏覽器
從許多勒索軟體受害者的經驗中,發現共通的使用情況都是使用微軟的IE瀏覽器,往往會再加上沒有更新到最新版的Adobe Flash應用程式,雙管齊下,距離電腦被勒索軟體鎖定加密的時間也不遠了。
因為在微軟XP作業系統中,IE只能更新到IE 8;而在微軟Windows 7作業系統中,IE只能更新到IE 11;至於,號稱最安全的微軟瀏覽器Edge則只存在Windows 10作業系統中。對於微軟公司而言,汰換老舊、不安全的作業系統和不安全的瀏覽器,原本就是理所當然的事情;但對使用者而言,這其實就是微軟無法迴避的原罪。
對於許多使用者而言,在微軟的作業系統中,使用微軟內建的IE瀏覽器已經是天經地義的事情,至於瀏覽器有沒有更新、作業系統有沒有更新,甚至於,應用程式有沒有更新,對很多使用者而言,都已經是超出他們可以理解的概念。加上,有許多使用者並沒有良好的電腦使用習慣,所有的按鍵都沒有詳讀顯示視窗的說明內容,一路只有下一步、下一步的按鍵選項,即便微軟作業系統有提供類似UAC的軟體安裝時的防護機制,會先詢問使用者,是否確認安裝該應用程式時,面對這樣的使用者行為,再多次的詢問都是失效的。
因此,對於微軟而言,作業系統內建的各種瀏覽器,尤其是IE瀏覽器,為了便利使用者,尊重使用者可以啟用ActiveX,在IE瀏覽器中使用Adobe Flash應用程式。但對於許多麻瓜的電腦使用者而言,根本無法理解啟用ActiveX的同時,也意味著,使用者已經自行判斷要承擔使用該應用程式所帶來的風險。
我們當然可以「理解」微軟公司尊重使用者的前提,尤其在臺灣,不能使用Adobe Flash應用程式時,就表示蘋果日報網站中的很多影片就不能看了,這對一般使用者而言,才是瀏覽器好用與否的判斷依據。
但「不能理解」的地方在於,微軟公司為什麼要將判斷安全性與否的問題,丟回給技術麻瓜的使用者身上。像是Google推出的Chrome瀏覽器,根本已經預設禁止使用Adobe Flash應用程式,若使用者確定要使用該應用程式,必須自行安裝其他外掛程式(Add On),當使用者有這個安裝外掛程式的過程時,對於堅持使用結果當然就是「使用者自負」。
也因為勒索軟體的中標都與微軟IE瀏覽器以及Adobe Flash應用程式息息相關,便有資安專家表示,在新竹科學園區中,已有某間員工大約4萬名左右的某知名高科技製造業者,經過去年下半年的評估後,在去年底已經正式導入,所有員工對外進行網路連線時,一律都強制改用Chrome瀏覽器,而IE瀏覽器在瀏覽內網資料時,仍然可以順利使用。
根據該名資安專家的說法,這間高科技製造業只是改用瀏覽器而已,整體資安系統警告的訊息量就已經大幅降低,也提升資安部門判斷公司資安風險的效率。
從這個經驗判斷,微軟作業系統的使用者,如果可以在今年7月29日前,可以免費升級到微軟Windows 10作業系統的使用者,都應該儘速升級到目前微軟最安全的作業系統以及使用微軟最安全的瀏覽器;但如果因為種種因素而無法升級時,禁止使用不安全的IE瀏覽器,改用其他預設禁用Adobe Flash應用程式的瀏覽器時,其實是保護使用者避免被勒索軟體綁架的第一步。