近年駭客入侵金融資安事件頻傳,證交所本月7日召集所有提供電子下單的數十家券商開會,要求全體券商通知所有使用電子下單的投資人、法人,必須修改密碼,1月21日為最後期限,金融法制暨犯罪防制中心董事長邵之雋透露,「大家都以為駭客靠不斷嘗試密碼來破解撞庫攻擊成功,其實沒那麼困難,這次駭客手法簡直是侵門踏戶。」
邵之雋指出,去年11月發生證券戶遭駭去海外買港股,駭客以不斷的嘗試密碼組合的暴力破解、撞庫攻擊,但不是過去平均嘗試5千次會成功1次,而是驚人的數字,平均在3次以內就成功1次,原來駭客避開資安防護較強的券商,直接從端防護力較弱的用戶手機APP下手,發現帳號、密碼管理上的大漏洞。
證交所要電子下單戶改密碼,逾期恐無法下單
台灣目前已超過1200萬人擁有證券戶,手機APP的便利性之下,電子下單用戶超過1千萬戶,但近年券商遭駭客攻擊的頻率轉趨嚴重,至少超過10家券商遭到攻擊,因此,7日證交所已下令全體券商必須限期完成旗下全體電子下單客戶的密碼重新設定修改。
媒體報導指出,7日證交所召集券商開會,最後做出結論,要求全體券商包括自然人或法人在內的所有使用電子下單客戶戶頭修改密碼,並以1月21日為最後期限,逾期恐無法下單,對此,所有國內券商已自上周起陸續以APP直接公告,或是發送電子郵件等方式通知客戶修改密碼。
(更多新聞請看:陳明文女兒、黃敏惠特助、趙天麟助理都是局長 青年局到底什麼角色?)
證券商防駭較強,駭客轉向攻擊用戶端手機APP
雖然有資訊專家對此提出質疑,認為是證券端出了問題,但邵之雋指出,外界容易誤解券商被駭,其實這一波駭客型態與傳統「撞庫」不同,駭客不攻擊防護力強的券商,而是朝防護力較差的用戶端的手機APP下手。
他解釋說,駭客透過黑網等手段,在第三方服務等雲端平台(如供記帳、理財帳戶管理服務的App)取得記載金融帳戶資料,直接以本人的身分登錄,所以平均每嘗試3次以內就成功1次了,遠低於過去的平均值要5千次才成功1次。
邵之雋進一步解釋,很多用戶在好幾家券商都開了戶頭,因此手機裡面有2、3個券商的下單APP,覺得要記很多帳號密碼很煩,就使用供記帳、理財帳戶管理服務的App,甚至授權給這些APP登陸權限,被駭客發現漏洞,直接攻擊第三方服務等雲端平台,所以不是傳統的撞庫攻擊,而是已經駭得帳密之後的攻擊,成功機率大增。
個資安全有如錢財,不露白才能降低被駭機率
事實上,雲端服務益形普及的現在,資安已經是社會系統的一部分,駭客永遠能從「資安城牆」最弱的部分攻入,所以喚醒民眾的資安意識是最為重要的。要讓民眾充分了解到,個人資料安全跟錢財一樣,財不露白才能最大程度降低犯罪者的覬覦。
何況從法律層面來看,如果透過資安鑑識民眾的帳密,是因為可歸責於己的事由露出,而非因金融機構系統漏洞而導致,所產生的損失可能就是要由民眾自行負責。