国内线上游戏“仙境传说RO”传出遭骇客“侵权”,复制收费网页,企图从中窃取玩家帐号与密码,其方式是将官方网站上的收费介面直接复制,将它连结至私人的网站上,并且佯称是官方网站人员,误导购买点数卡的玩家上线登录点数,然后从中窃取他们的帐号与密码。
这名骇客甚至还公然在各大游戏网站张贴广告连结,散播点数卡的收费期限截止等不实讯息,诱使玩家上当。
业者表示,线上游戏所需的点数卡,须上线登录才能使用,骇客熟知这样的消费习性,干脆直接复制一个假的登录页面,若不知情的玩家前去登录,帐号与密码即因而“外流”。
对受骗的玩家来说,个人帐号、密码被窃取,可能让自己拥有的虚拟宝物遭盗用,不肖人士则可藉由转卖虚拟宝物而实际获利;或是这些帐号、密码会低价“贱卖”给其他玩家,影响到原有玩家应有的权利。
“HackingExposed”(骇客现形)作者之一的陈彦铭最近在“骇客实战研习营”中,则亲自示范骇客“获利”的作业模式与手法。
其中之一是将某个购物网站的原始档叫出,存到自己的电脑中,再利用文件编辑软体如“记事本”,开启该原始档,透过“寻找”的功能,找出欲购买商品的“标价”,和所有与该数字有关的内容,然后将这些标价数字改为1元,再进行“存档”的动作。
接着由浏览器开启更改后的原始档,虽然会发现网页中的商品图片部分无法显现,但是商品的价格已变成1元,接着点选“加入购物车”(AddaCart)的按钮,会见到购物清单中的商品价格正是1元,我们还可填写欲购的数量,其实这个漏洞仍在某些购物网站中,并未加以修补。
陈彦铭说明,上述漏洞,都是来自同一家公司,其专门提供购物网站所应用的程式,只要使用同样程式的购物网站,照理说都会有相同的问题。
虽然有机会以1元,购买原本上千或万元的商品,不过陈彦铭特别提醒,商家也不是浑然不觉,发现这种诡异的状况,一定会追查原因和破坏的来源,所以用1元买商品很可能仅是“一时之快”,之后警察若找上门来,可要面对后续的法律责任。
陈彦铭另外示范,利用Google搜寻引擎找出使用者所设的密码提示,他解释,这是因为网站的疏忽,将这些资料放置在未经保护处理的电脑中,因而Google的“搜寻机器人”主动至各网站搜集资料时,就“顺便”将这些资料罗列在Google里,偏偏有些使用者所设定的密码提示答案,根本就是密码本身,于是让骇客有可趁之机,只要将帐号和密码试一试,立刻破解。
此外,陈彦铭还提供一个前几年发生的实际案例:当时俄国骇客专门对网络上的银行或赌场下手,先将锁定目标的IP位址找出,再试试网站所使用的网页伺服器是否为微软的IIS,由于IIS有些漏洞,骇客便能放入“后门程式”以掌控电脑。
接着便是找出该银行或赌场网络服务的客户名单和对应的密码,再跟受害公司联络,进行勒索恐吓,表明若不付钱,便将这份名单公开,破坏其声誉。
不过,“魔高一尺,道高一丈”,接获受害公司报案的美国联邦调查局FBI,展开反制行动,利用网络追踪的技术,找出两位俄国骇客的真实身份,再策动一个“诱捕”的行动,设立一家假公司,佯称要提供骇客优厚的工作机会,骇客“不察”,欣喜地飞到美国,结果一下飞机,立刻遭FBI逮捕。
◇防骇机密资料不外泄。
尽管网络经常暗藏遭人入侵威胁,不肖骇客随时伺机而动,不过一般网络族也不用因此杯弓蛇影、甚至因噎废食,不敢在网络上进行任何活动,其实只要注意一些原则,做好基本防护措施,就可享受网络快捷的便利。
在Foundstone资讯安全顾问陈彦铭示范下,让网友了解到网络上一些细微的漏洞,扩大自身的不安全感。不过,他反而认为,自己并不忧虑在网络上购物会导致机密资料外泄,但经常在网站上购物的他,为了保护自己的重要资料,必须要遵守一些原则。
陈彦铭指出,增加通行码或密码(Password)被破解的困难度、提高门槛,是防范骇客的第一步,比如说,一般银行提款卡的四位数字密码,相较起来就容易破解,因为总共为1万组的组合,如果真的要一个个试,花点时间就会猜到。
所以,密码的字元要愈多愈好,最好设到系统能接受的上限,可能的话,所设的密码中,最好夹杂英文、数字或特殊符号,愈复杂被破解的可能性愈低,不过自己可要记得密码才行。
同时,重要的资料不要放在网站中,如信用卡号码及相关资料,现在不少网站会提供“一次登记、下次免输入资料”的服务,陈彦铭建议,最好不要使用这类系统,因为这会把一些个人的机密资料,直接储存于网站的伺服器或资料库中,为了避免风险,宁可麻烦点,有必要再输入一次。
值得注意的是,现今搜寻引擎的功能可说十分强大,骇客很可能会透过搜寻引擎进行一些特别资料的搜寻,以找出线索,再经由这些线索,完成进一步的破解机密,或破坏扰乱系统的行动;为增加资料的安全性,基本原则就是提高被寻获的困难度,同时不要将个人的重要资讯放在网络上,徒增被“骇”的机会。
此外,资讯安全软体厂商看好宽频网络应用的趋势,纷纷推出标榜防毒又防骇的产品,使用者可以比较参考一番,再决定要在个人电脑上采取哪种防护措施。
赛门铁克日前推出“诺顿网络安全大师2003中文版”,宣称除整合诺顿防毒2003、个人防火墙2003最新功能外,再加强“入侵侦测”、“隐私权控管”及“内容过滤”等功能,建构出个人网络式防御保护机制,五者交叉运作,应能让骇客、病毒虫进不来,重要的个人机密资料,未经允许也无法送出,同时还可追踪骇客所在的位置。
至于趋势科技新上市的“PC-cillin2003”,则强调“主动式病毒预警通知”功能;尚标榜延续防毒、防骇双管齐下的概念,提供“主控式个人防火墙”,除具备骇客入侵侦测功能外,当连线上网时,可即时监控、过滤与追踪任何形式的网络资料传输或交换;并能避免电脑遭到来自网站的恶性程式“挟持”,阻绝特洛伊木马程式的袭击,不至于成为病毒的帮凶。