2015年9月25日 星期五

資安分析師:中國黑色產業分工全球化,網路代購成駭客洗錢管道

 
每日出刊.2015.09.29
 
本 期 目 錄 簡介/舊報明細
資安分析師:中國黑色產業分工全球化,網路代購成駭客 ...
京站靠一套POS管400品牌,每日十萬人潮銷售情報一手掌 ...
頂級網域也淪為駭客攻擊跳板

優惠訊息

. 防禦全面提升研討會報名中
. 行銷!就用中文網址輔助
. 【大量簡訊必備】用 Excel 編輯再發送,超輕鬆!

專題報導 

資安分析師:中國黑色產業分工全球化,網路代購成駭客洗錢管道

唯一和美國FBI共同調查美國第二大零售業者POS機資料外洩事件的資安研究公司iSight Partners,該公司網路威脅分析師鍾安娜表示,中國的黑色產業發展蓬勃,連常見的網路代購服務都已經成為駭客洗錢管道,甚至已經做到全球分工的地步



許多黑帽駭客利用技術找出系統漏洞、入侵並竊取帳號、密碼後,再將獲得的資料用來販售或者是詐欺,藉此獲得金錢利益,這已經形成一種完整的黑色產業鏈(簡稱黑產)。

美國第二大零售業者Target的POS機資料外洩事件中,唯一和美國FBI共同調查的資安研究公司iSight Partners,該公司網路威脅分析師鍾安娜日前訪臺時表示,中國的黑色產業發展蓬勃,連常見的網路代購服務都已經成為駭客洗錢管道,許多環節分工細膩,甚至已經做到全球分工的地步。

中國黑產透過QQ私下交易變現,需求甚殷

中國黑色經濟發展蓬勃,鍾安娜以「什麼都買、什麼都賣、什麼都不奇怪」來形容,更有甚者,她也親眼在中國常用的QQ通訊軟體上,看到很多人公開要買一些像是剛往生的死者資料,買賣這些資料的目的,不外乎是要提供給殯葬業者做生意,或者是藉此偽造身分,也可觀察到買方需求十分強烈。

在中國黑色產業的地下市場販售的資料來自世界各地,包括日本、臺灣、韓國、澳洲、義大利和法國等各國資料庫在內,而販售價格會因有無包含信用卡資料、是否加解密等條件而有所不同。

鍾安娜解釋,這些在地下市場販售的資料,可以透過2種常見的手法產出。

第一種就是中國黑帽駭客常用的「撞庫」手法,其實就是黑帽駭客先收集其他網路上已經外洩的使用者帳號密碼,產生一個新的資料庫後,再利用這些彙整收集而來的資料,匯入一套自動掃號的工具,就可以模擬使用者登入網站的方式,確認這個帳號密碼是否有效。而這些確認有效的帳號密碼就可以產生一套新的資料庫,另外對外販售。

第二種手法就是「拖庫」,鍾安娜指出,這也是最常見的網站入侵手法,黑帽駭客直接入侵某個網站,並竊取相關資料庫中的資訊,黑帽駭客可以備份一份完整的資料庫,也可以將資料庫中的資料匯出到其他的本地端或雲端的儲存空間。

若要進一步解釋撞庫手法,比較類似幾年前,臺灣電子商務業者遭遇到駭客利用從其他地方取得的帳號密碼,再利用資訊拼圖的手法,將這些從其他地方搜集到的帳號密碼,用來測試使用者是否也在該電子商務網站中,使用相同的帳號密碼。至於拖庫,則是一般常見的網站入侵、竊取資料庫的手法。

但是,不論是撞庫或拖庫,鍾安娜說,黑色產業最終的目的就是要讓這些資料變黃金,這個變現的過程就是所謂的「洗庫」,也就是一連串的洗錢過程。

另外,日本JP CERT資安研究員林永熙表示,中國地下市場使用的自動掃號工具,已經對日本民眾造成很大的危害,光是今年,就有一間知名手機營運商和兩間很大規模的物流業者,公開要求日本民眾注意相關工具帶來的危害。

網路代買代購服務,成為資料變現管道

資料如果不能賣錢就沒有價值,因此,根據鍾安娜的研究觀察,中國黑色產業的地下市場會利用4種方式將資料變現。第一種就是利用網路代買代購的服務,將資料變現。

她進一步解釋,黑色產業從業人員會將取得的假信用卡資料,利用在美國、日本等的電子商務網站代買代購的方式,購買高單價商品後,再將網購商品寄回中國,因為匯率比一般金融體系的匯率好,深受許多網友歡迎。

如果駭客植入木馬程式的電腦,在瀏覽器的COOKIE中存有信用卡資料,駭客也可以直接下單寄到作為洗錢的人頭帳戶(又稱為車手)地址後,再將商品轉賣掉。

第二種就是將取得的網銀帳戶資料,登入後將帳戶內的錢轉帳轉走,或者是把這個帳戶作為洗錢的人頭帳戶之用。

第三種則採用類似釣魚網站的手法,駭客會假冒銀行或電信業者發送簡訊,宣稱某個帳戶密碼即將到期,要求收到簡訊的使用者,點入簡訊所附的連結後更改成新的帳號密碼,在更改密碼的過程中,會要求使用者輸入現有的帳號密碼,駭客就可以取得正確的帳號密碼後登入使用者的帳號。

最後一種方法則是,黑帽駭客在使用者電腦植入木馬程式,平常保持安靜並不動作,在取得使用者電子郵件帳號密碼後,便會透過「關鍵字搜尋」,蒐集該名使用者的信用卡和帳號,作為將資料變現的洗錢之用。

引進美國綠點儲值服務,更易將資料變現

鍾安娜表示,中國黑色產業雖然蒐集並販售來自全球各地的資料庫,但也會依據消費者需求進行各種在地化和客製化的調整,以滿足資料購買者的需求。

不過,中國黑色產業的發展也經歷過一些轉折,她指出,早在2010年,各種資料販售管道,主要是以中國論壇各種貼吧作為黑色產業從業人員和買家的溝通平臺。

但經歷2012年,中國政府大規模的淨網行動後,黑色產業曾經出現一段時間的衰退期,爾後,雖然在2013年慢慢復甦,但資料買家和賣家的溝通方式,到2014年更多人則直接改採QQ等即時通訊方式私下交易,也可以躲避中國執法單位的查緝。

 閱讀全文
內容合作 

京站靠一套POS管400品牌,每日十萬人潮銷售情報一手掌握

要因應單日10萬人潮湧入,京站靠一套POS系統串接400個品牌,每個專櫃的銷售資料、財務資料、顧客資料都一手掌握

京站實業管理處副總經理 王大政


還記得當年風靡一時,突破傳統百貨公司經營模式,成功打造臺灣首座女性專屬百貨公司的衣蝶嗎?在母公司力霸集團風波後,受到牽連的衣蝶由新光三越接手,不過當時那個創新力十足的衣蝶團隊並沒有就此完全解散,而是輾轉來到日勝生集團,在臺北火車站後站,再度打造了一個新百貨品牌,也就是現在的京站時尚廣場。

負責督導、管理京站IT部門的京站實業管理處副總經理王大政,正是當時管衣蝶IT部門的人,他跟著原本的衣蝶團隊一起接下京站開店任務,團隊中包含了招商和籌備,而王大政的任務則是要建置整個京站的IT架構。

王大政表示,京站從2007年左右開始籌備,初期花了1年半的時間規畫整個IT系統架構,包括導入關鍵的POS系統,再用POS系統串接其他系統,如CRM會員管理系統,以及整個骨幹網路架構的建置,一直到2009年6月左右才完成。

京站的營業面積2萬多坪,結合臺北轉運站、君品酒店、威秀影城以及伊士邦健身房,組成大型的複合式百貨商城,不含地下停車場及電影院就有7層樓,超過400個品牌進駐,要因應單日10萬人的人潮湧入,平均每天破千萬的營收規模,京站靠一套POS系統串接所有專櫃資訊,從銷售資訊、財務資料到顧客資料都一手掌握。

雖然京站看起來像購物商場,但是有別於一般商場讓進駐的店家使用自己的POS系統,京站採用同一套集中管理的POS系統,高度掌握每個櫃位的銷售情形。王大政表示,對百貨公司來說,最重要的就是POS系統。

而POS系統建置規模與百貨商場發展趨勢有關,他解釋,早期百貨公司收錢方式採統收機制,消費者到百貨公司專櫃買東西時,專櫃店員要到公共收銀臺才能完成交易,因此,當時每個樓層只需要建幾臺公共收銀臺,但之後百貨公司漸漸改成自收機制,在每個專櫃都設置一臺POS機,讓各專櫃可以自行結帳。

儘管傳統的統收模式越來越少見,不過公共收銀臺仍維持一定功用,並沒有被完全取代,王大政表示,有些百貨公司的專櫃並非長期設櫃,而是因應特定時段,像是促銷、節慶、換季等活動,或是有些公司規模較小,沒有自己的收銀系統,因此,像京站目前每個樓面都還有公共收銀臺,而遇上周年慶有特殊需求時,也會增設臨時性的收銀機臺。

善用資料分析找出百貨業經營眉角

除了POS系統之外,包括京站的會員卡和CRM系統都是在開幕前就已經到位。王大政表示,百貨業的資料量很多,光是一筆交易資料就可以告訴管理者很多事情,但前提是,管理者要知道可以從這些資料中取得哪些資訊,透過軟體或技術協助,從BI系統中找答案,把資料變成有用的資訊。

他說,從商品本身,可以得知品牌、價格及市場銷售資訊,從消費者來看,可以將會員系統中的會員資料匯進資料庫,蒐集消費者的性別、年齡、收入和學歷等資訊。將各系統串接後,除了能追蹤品牌業績狀況、銷售分析,也能和顧客管理系統整合,分析顧客的消費趨勢。

京站目前使用的POS系統中,就有一套簡單的BI分析工具,不過,王大政認為,目前能做到的資料分析程度還不夠細緻,因此,他們和SAS合作,計畫要再導入一套新的BI系統。他表示,新BI系統在資料的分析細緻程度更高,做營業分析時,可以拆到更細部的資料層級,讓管理者從資料庫中找出更多百貨業經營的眉角。

雖然京站擁有所有專櫃的銷售資料,王大政表示,但是無法取得最細項的產品類別,也就是所謂的單品管理,這不只是京站和進駐品牌之間會遇到的問題,同時也是很多百貨公司都遇到的問題,由於每個品牌公司的軟體不一定相容,在串接上會遇到要誰串誰的問題,理論上來說,應該是京站提供一個介面讓大家來串接,但是這對於在眾多百貨公司設櫃的廠商來說是個大難題。

王大政認為,百貨業是由人所組成,不能純靠資料庫的資料,來做所有的分析跟決策,這些資訊都只是重要的參考指標而已。他舉例,透過BI系統,也許能分析哪個專櫃或位置受歡迎,但是王大政認為,造成業績好壞的變數太多,還要考慮品牌、價格、促銷活動等,在兩櫃位的所有條件都相等之下,轉角櫃位才有絕對優勢。除此之外,京站也會分析人潮流量,每個時段的營業額也都知道,透過相互比較,知道是不是有達到符合預期的業績。

王大政說,京站在去年10月導入一套精確的人潮計數系統,在所有出入口設置閘口,將影像感應器放在天花板上,透過影像辨別人形,計算出每個時段、每個閘道的人流量,再把數據跟營業數據交叉比對分析,找出什麼時間人最多,銷售上有哪些優勢等,他也說,根據他們測試,這套系統的準確度98%。

京站目前有三套主機,兩套都是線上伺服器,商場的資料經過VPN傳送到主機,一套放在京站,另一套放在臺北轉運站作為線上備援主機,而第三套則作為離線備援。他說,商場數據資料的重要性高,無法受到停電或是網路的影響,當第一套主機出問題時,第二套主機必須要能夠馬上接手,並將資料做定時的備援。

技術快速演變,早期建置的IT架構要能快速跟上

京站因為營業上的需求,在開店初期就意識到POS系統的關鍵,然而,很早就e化的考驗,在於新網路技術的更新與演進,有技術和IT架構要怎麼跟上,像無線網路的普及率的問題。

王大政表示,由於整個IT架構9年前就建置,跟現在比起來,當時網路技術不管是技術面還是運用面,成熟度大概都還在幼稚園階段,那時大家對網路的信賴度沒有那麼高,也不知道網路發展這麼快速,因此京站在建置時只以內部處理的網路需求為主,外部的網路及跟賣場的串接都還用實體線路。

京站的骨幹網路都採用實體光纖,內部POS系統原本都接實體線,新增設或是原本沒預留線路的櫃位,才用Wi-Fi網路來連線,因此分為網路實體線路和Wi-Fi兩種。先從各樓層拉線,再從主要通道深入各櫃,都是接實體線路,各專櫃的POS系統資料經過後臺傳到大主機,而主機備援也是實體線路。他認為實體線的保障較高,也不會有佔用頻寬的問題。

他表示,由於當時網路的普及和覆蓋率做的不夠全面,也沒有預留線路,公共區域的網路沒問題,但專櫃內的網路建置就會遇到問題,需要花費更高的成本才能完成。不過,他也說,網路技術、通訊協定不斷進步,即使當時真的預留了線路,現在也不一定能用。

大學念大眾傳播系的王大政非IT出生,最早先進到國泰信託,從事內部刊物的編輯採訪工作,王大政笑著說,想東西、寫東西是興趣之一,但後來工作之後發現和想像有落差,正好遇上民國74年的十信案,轉而跳到力霸百貨集團下從事行銷工作,沒想到在百貨業一待就是30年。

他在行銷部門做了8年,之後先轉到營業單位,再被調到開店籌備部門,參與整個開店籌備流程,把當時的力霸轉型成衣蝶百貨,後來力霸集團在士林夜市基河路開臺北海洋館,王大政也參與了籌備過程,當了兩年館長後,才因公司職務調整,回到衣蝶接管IT部門。

而他現在負責的京站管理處,底下涵括了資訊部、工程部、商場開發部、總務部等部門。他說,由於IT人力有限,很多系統或是更新部分皆委外處理,而他的任務是要把IT架構做出來,然後扮演督導與管理的角色,至於技術細節,他認為最重要的是要能夠滿足使用單位的需求。

 閱讀全文
周刊內容 

頂級網域也淪為駭客攻擊跳板

Blue Coat:近2年有越來越多駭客採用頂級網域(TLD)做為攻擊跳板,藉由在管理鬆散的TLD網域埋入惡意程式,進而長驅直入滲透企業或政府內部



近年來,不只是大型企業網站資料外洩事件頻傳,連政府也都履履因駭客入侵而導致大量政府內部資料外流,而這些攻擊手法往往無法事前察覺,得等到事件爆發後才曝了光。而其實類似滲透手法在網路上層出不窮,像是長年分析網路攻擊手法的Blue Coat臺灣區技術總監曾良駿也觀察到,近2年有越來越多駭客是採用以頂級網域(Top-Level Domain,TLD)來做為攻擊跳板,透過在一些管理鬆散TLD的網站來埋入惡意程式,進而長驅直入滲透企業或政府內部。

曾良駿也表示,這些因為TLD網域所產生的資安高風險,就在於駭客會在某個外表正常的網站植入惡意指令,只要受害者點開網站就會經由瀏覽器背景下重新指向到1個或多個含有TLD高風險的可疑網站,而一旦企業端的防毒軟體無法偵測到這些網站內的惡意程式,就有可能進而讓駭客滲透到企業內部植入木馬。

公布10大危險TLD網域名稱

Blue Coat在日前發布最新一份網路恐怖芳鄰(The Web's Shadiest Neighborhoods)資安報告中,從Blue Coat近2年多達2萬家企業客戶瀏覽的網頁資料當樣本,經過自家資料庫比對分析後,選出10個含有可疑網站比例最高的TLD網域為.zip、.review、.country、.kim、.cricket、.science、.work、.party、.gq,以及 .link。甚至當中使用.zip和.review這2個TLD網域來申請的網站,竟有高達百分之百的網站都被標識為可疑網站,而部份網站還隱藏著多種惡意程式。

曾良駿指出,截至目前為止,企業客戶只要到訪以上這10個高危險TLD網域申請的網站,多數都會被標識成幾種可疑網站類型,像是常見的垃圾活動(Spam)、詐騙活動、可疑活動,乃至網路釣魚(Phishing),甚至是在網站內埋入惡意程式,或是散布殭屍病毒等,來引誘受害者在不知不覺情況下上勾而被植入惡意程式。

 閱讀全文
前期文章 全部歷史文章
出刊日期 出刊主題
2015-09-28 【JSDC客座文章】第一次接觸Go...
2015-09-27 亞馬遜如何讓Aurora資料庫效能...
2015-09-26 微軟:IoT版Windows 10將會加...
2015-09-25 FireEye:受到XcodeGhost感染...
主編推薦  
頭髮越長則性奮感越強烈?
ibon售票系統遭爆有漏洞?
倒車入庫竟撞見老婆偷漢子
3C美女現身台北電腦展!
我要訂閱這份報紙 我要取消這份報紙 訂報說明
.本電子報內容由 iThome online 提供
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服中心
廣告刊登消費者保護兒童網路安全關於PChome徵人
網路家庭版權所有、轉載必究 Copyrightc PChome Online

沒有留言:

張貼留言

您或許對這些文章有興趣: