2015資安新危機 醫療及零售產業遭鎖定

實體零售POS已成為新興的惡意攻擊目標。DIGITIMES攝

資訊安全的發展趨勢，與科技應用的熱門程度可說是息息相關。根據趨勢科技最新發表的「2015年第一季資安報告」指出，醫療產業、iOS裝置與銷售櫃台系統(Point of Sales；POS)已成為新興的惡意攻擊目標，正可對照當今智慧醫療及智慧零售的熱門風潮，顯然已經引起駭客的關注，相關產業業者不可不慎。

而在產品設備面上，行動裝置不但一如往常的仍是駭客們鎖定的目標，趨勢科技資安團隊發現，行動裝置惡意威脅的成長幅度，更是以驚人速度大幅攀升，已於2015年第一季突破500萬大關，其中又以惡意廣告為行動裝置排名最大的資安威脅，如在2015年3月份，Google Play就曾有超過2,000個App，可能含有惡意廣告程式，Google也已開始移除可疑的App。

此外，惡意網站也成為用戶最常誤觸的資安地雷之一，2015年第一季全球共有800萬用戶曾造訪惡意網站，而台灣更是名列最常造訪惡意網站的第四大國家。

醫療產業已成主要攻擊目標

由於醫療院所使用的資訊科技愈來愈多，資訊安全已經成為醫療組織管理必須重視的管理重點，否則輕則導致病人敏感個資外洩，重則影響病人生命安全，都可能會造成醫療院所實質及名譽的重大損失。

醫療院所最重要的資料，莫過於病患的個人資料。如美國阿拉斯加州最大保險公司Premera Blue Cross及美國大型醫療保險公司 Anthem皆曾發生資安危機，超過9,100萬的客戶金融資料及醫療數據外洩。

今天如果是財務資訊如信用卡資訊外洩，金融機構跟用戶只要盡快換發信用卡，就可以阻止犯罪者繼續使用。但如果是醫療資訊，就很難隨時終止或更換，而且醫療資料往往記載著相當多最為私密的個人資料，犯罪分子不但可以用來偽造身分，在實體世界進行詐騙外，也可能因此升級成更嚴重的暴力犯罪如綁架及勒索等。

針對醫療院所的駭客攻擊，甚至已經升級為國家級的資安威脅。根據衛福部的監控情形，光是一個晚上台灣遭受大陸攻擊的事件就可達上萬次，而且這些攻擊可能會針對特定議題，攻擊頻率也集中在特定時期或事件，如衛福部部長每年5月要到日內瓦參加世界衛生組織會議的時間點前後，來自對岸的各種攻擊數量從3、4月開始就會有明顯成長，5月時達到尖峰，直到6月才會下降。

衛福部資訊處處長許明暉指出，由於各個領域的用戶都可能需要醫療院所的資訊，因此醫療院所被攻擊的原因，可說是五花八門。如曾有警察局為了要抓通緝犯，突發奇想，寫出一個可以自動進入每個醫院掛號系統的小程式，以便查驗通緝犯是否有到醫院看病，卻被認定是資安攻擊，造成虛驚一場。

實體零售POS成最新攻擊目標

零售業一向都是網路攻擊的主要目標，但趨勢科技發現，如今連實體通路使用的POS，都已成為駭客的攻擊目標。如惡意軟體FighterPOS 在2015年2月底到4月初，就感染了大約113台的POS，其中90%以上在巴西，原因在於主要的受害者是Linx MicroVix或Linx POS系統用戶，兩者都是巴西流行的套件。但其他地區如美國、墨西哥、義大利和英國，也都有FighterPOS感染的證據，被竊取的信用卡號碼超過22,000筆。

由於POS使用的作業系統的更新速度較慢，系統漏洞不易及時堵住，也因此許多老舊的惡意軟體，仍然有機會侵入POS。如趨勢科技就發現，2013年就已存在的惡意軟體PwnPOS，目前仍可使用記憶體擷取程式來尋找資料，並連到SMTP竊取有價值的資訊。

但這並不代表零售業不會面臨新式的網路攻擊。如FireEye研究人員已發現一種透過垃圾郵件進行攻擊的POS惡意軟體NitlovePoS，它可以捕獲和跟蹤信用卡行為，並掃描已經感染的機器。駭客會先使用帶有敏感字眼的郵件主題如找工作、空缺職位、實習、招聘、就業簡歷之類的方式，吸引用戶打開信中的附件，病毒就會自動下載執行一個來自80.242.123.155/exe/dro.exe的惡意exe文件執行感染動作。

機器被感染後，惡意軟體就會把自己添加到登錄開機選項中。值得注意的是，NitlovePoS必須要設置正確的參數，才能正常運行，自動尋找與信用卡相關的資訊，否則不會進行任何惡意行為。這個特殊設計有助於NitlovePoS可以躲過一些簡單的安全檢測，特別是那些針對自動化攻擊的安全軟體。

另一種一樣也是以POS為攻擊目標的惡意軟體PoSeidon，會先載入Loader，試圖留存在目標系統中，防止系統重啟，之後就會聯繫命令與控制(command and control)伺服器，接收一個包含另一個程式FindStr的URL網址，並下載執行。FindStr在執行後會安裝一個鍵盤記錄器，同時掃描POS記憶體中的數位序列，如果經過驗證，發現這些數位序列確實是信用卡號碼，鍵盤記錄和信用卡號碼就會被編碼，並發送到一個伺服器。

PoSeidon不但會繼續針對POS系統進行攻擊，而且還會使用各種混淆手段逃避檢測。只要POS攻擊能夠提供回報，攻擊者們勢必會繼續研發更新的惡意軟體，零售業者應該要保持警惕，並且使用最佳解決方案，保證POS不會受到這些惡意軟體的攻擊。

虛擬零售仍是最大規模受害者

但如果只看受害規模，零售網站還是最有可能被入侵的受害者。如台灣知名的丹堤咖啡，日前傳出官方網站遭到駭客入侵，大約5,000筆的客戶資料，包括帳號、姓名、聯絡電話、生日、行動電話、行業、住址等資料外洩，被刊登在俄羅斯網站上。

根據蘋果日報報導，這些資料疑似在5月10日就已公布，直到被網友發現時，丹堤咖啡的會員資料已在網路上曝光近20天。丹堤咖啡表示，經過內部調查發現為委託鉅潞科技代管的網站遭到入侵，這些個資並沒有用在電子交易，只是用來發送促銷訊息、電子報，目前也已經更換主機，加強保全措施，同時發文國外網站，移除相關資訊，並已報警處理。不過還是有消費者擔心，個資被有心人利用，對此丹堤強調，如果消費者因為個資外洩造成損失，願意接受求償。

美國Target在2013年12月也曾發生個資外洩事件，最後總計外洩1.1億筆個資，而且外洩的資訊包括最重要的信用卡卡號資料，進而導致盜刷事件，引發140多起訴訟案件。

Target雖然是遭遇進階持續性滲透攻擊(APT)，但駭客卻不是直接攻擊Target，而是先發送社交工程郵件到Target往來的空調業者與電冰箱業者，成功後再植入木馬程式竊取這些供應商的銀行帳號密碼，再利用這批帳號密碼資料，登入Target供應商平台網站，找出Target系統上的多重漏洞，利用上傳功能植入木馬程式後，來竊取Target系統的最高權限。

由此可知，想要阻擋現在的資安威脅，已經不再只是資安人員的責任，要保護的範圍也不再只限於網路機房或重要的伺服器，每一個連接在網路上的設備及用戶，都可能成為被鎖定的攻擊目標。