【04】資安的原罪 ch.1-2 生命安全與財產

17th鐵人賽

61 瀏覽

「被駭客攻擊只是數據被偷或破壞，應該不會影響我日常生活吧？」隨著全面數位化與萬物聯網時代的到來，資安問題已經與我們的現實生活密不可分。筆者挑選了兩個最直接、最容易感受到的影響面向來分享：財產與生命。

我的財產憑空消失了?

當資安出現漏洞時，可能會發生信用卡盜刷、銀行帳戶資金被轉走、證券帳戶出現未授權交易、甚至加密貨幣遭竄改等問題。尤其值得注意的是，近年已經出現繞過多因子驗證（MFA）的案例。筆者整理了幾則相關新聞事件如下：

信用卡

最具代表性的案例之一是 2005 年美國百貨公司 TJ Maxx 的信用卡資料外洩事件，約有一億名顧客的卡片資料遭到洩漏；Visa 向來自訴訟的說詞估計，該事件造成的詐欺相關損失約在 6,800 萬到 8,300 萬美元之間。^來源^
隨著網釣即服務（PhaaS）平臺的擴張，正助長信用卡盜刷網釣攻擊的犯罪規模，例如，中國信用卡黑市如今已有1百多個網路釣魚犯罪服務，這些平臺大多提供半套或全套的訂閱租賃方式，並且幾乎都已經提供OTP竊取的能力。 ^來源^

銀行帳戶

安全研究人員估計全球感染Gameover Zeus惡意軟體的電腦在50萬到100萬之間。一旦植入個人電腦就會蒐集受害者的銀行帳密，並且在接收主機的指令後，將帳密等資料暗中傳回給幕後的犯罪主腦，最後將使用者帳戶裡的錢搬到海外戶頭。FBI估計Gameover Zeus已造成全球超過一億美元的損失，也是FBI及合作業者對付過最複雜的僵屍網路。^來源^
日本最大電信公司NTT DOCOMO的電子支付服務「DOCOMO帳戶」出包，與「DOCOMO帳戶」^來源^的銀行帳戶存款遭盜領，至今已確認受害37件、被盜領逾1200萬日圓。^來源^
針對 Android系統的行動網銀木馬Xenomorph發佈第三個版本，攻擊力大增。全新的自動轉帳系統（ATS）框架可以竊取全球400多家銀行的用戶帳戶。更可怕的是，該木馬可以繞過多因子身份驗證。^來源^

證券交易

5家券商股票下單遭「撞庫攻擊」災情百餘件、凱基證也「被下單」^來源^
上百位投資人在不知不覺間，成了在香港上市的中國企業「深藍科技控股」主力拋售受災戶，許多人是直到券商軟體跳出成交通知，甚至是等到營業員來電確認是否買進港股時，才驚覺帳戶被盜用下單。^來源^
日本金融監管機構金融廳表示，自從 2 月以來，日本證券公司已經通報至少 1,454 起駭客入侵的交易，涉案金額將近 1,000 億日圓（7 億美元）。^來源^
駭客劫持日本投資者帳戶，操縱股市詐騙金額突破千億日圓！^來源^
已有12家證券公司向金融廳通報遭遇詐騙交易，涉及的非法賣出總額約為3.5億美元，買入總額約為3.15億美元。根據向金融廳通報的數據：帳戶被非法存取超過3,300次，已記錄到1,454筆詐騙交易。^來源^

虛擬貨幣

臺灣加密貨幣交易所幣託傳出5月遭遇攻擊事故，攻擊者身分是北韓駭客Lazarus，幣託疑似在5月8日遭到攻擊，多個熱錢包出現異常資金外流，損失金額約為1,150萬美元。^來源^
IDE開發工具Cursor AI用戶遭惡意延伸套件攻擊，50萬美元加密貨幣遭竊。^來源^

此外，還有駭入ATM^來源^ ^來源^或勒索攻擊^來源^等案例。不過，這些受害者多數並非一般民眾，因此我們將留到第2-2章再詳述。然而，從這些案例也可以看出，即便是擁有高資安防護的設備與機構，依然面對著資安風險。

有些裝置在我們日常生活中扮演關鍵角色，如果被駭客入侵或控制，可能直接威脅生命安全。除此之外，像醫院、飛航等機構的運作若遭攻擊而停擺，也可能間接造成嚴重的生命危害。

重要裝置

運輸器械
- 汽車：^來源^
  現代汽車高度電子化，駭客可透過遠端控制車輛，影響煞車、油門或方向盤，造成行車危險。
- 飛機：^來源^
  飛航系統若被攻擊，不僅影響航行安全，也可能危及大量乘客生命。
- 工地吊臂與起重機：^來源^
  駭客若控制大型機械，可能導致操作失控，危害工地人員安全。
家庭裝置 ^來源^
- 智慧門鎖：^來源^
  遠端入侵門鎖可能導致居家安全受威脅。
- 警報器與保全攝影機：^來源^ ^來源^
  駭客若入侵監控系統，可能關閉警報或竊取監控畫面，增加犯罪風險。
醫療器材
- 心臟節律器：^來源^
  遠端攻擊可能干擾心臟節律器運作，直接威脅患者生命。
- 胰島素幫浦：^來源^
  若遭駭入，可能錯誤輸注胰島素，造成低血糖或其他健康危機。