臺灣

今（2013）年3月20日下午2時半，迷你倉出租韓國多家電視台及銀行遭受駭客攻擊。韓國KBS電視台、MBC文化電視台以及多家企業內的網路系統同時出現電腦當機問題；除此之外，新韓銀行、農協銀行與濟州銀行等多家銀行，也出現系統癱瘓的狀況，所有的網路聯結系統以及自動提款機（ATM）均發生故障，數小時內所有的金融服務嘎然停止。據統計，此次受到攻擊的電腦在4萬8,700台以上，而完全回復原狀得以正常營運時，已經是九天後的事情。自3月發生事故迄今，攻擊的路徑均未明朗。然而，此等大規模的網路攻擊事件並非頭一遭。時間推前至2009年7月7日，也曾發生過著名的「七七大混亂事件」，這場事件是透過DDos（Distributed Denial of Service）的攻擊方式進行。當天韓國的總統府以及國會的網頁完全無法瀏覽，諸多金融機構的服務也出現障礙。DDos攻擊是透過網路分散來源的攻擊技巧，藉由阻斷服務進行攻擊，由於網路的頻寬或伺服機等設備的處理能力均有其限制，因此當駭客導入巨量的網路封包時，相關設備便可能處理不及，也會讓正常的服務停擺。雖然DDos攻擊無法竊取機器中的資料，但仍會造成目標的傷害，最常見者為電子商務網站的購物服務無法作業。數據顯示，DDos攻擊每年以20~45%的幅度繼續成長中，而且該種攻擊也是駭客社群中最被重視的工具之一。網路銀行遭受攻擊的情況也在日本頻頻出現。2011年約有3億800餘萬日圓之損害產生，發展至2013年，仍出現透過網路違法竊取金額以及個人認證資料之情事，受害者包括三菱東京儲存倉FJ銀行、瑞穗銀行、樂天銀行、花旗銀行等諸多金融機構。上開犯罪是因科技之日新月異所產生的新型態犯罪，日本或韓國政府，雖已盡心竭力善後，仍希望有他山之石可供借鑑。日本政府於5月9日時，以強化美日同盟關係之基礎，針對電腦網絡領域的安全在東京發表共同聲明。該聲明中指出，未來美日間將加強網路安全之對話與意見交流，並將促成多項國際性協議，並相互支援網路運用之安全性保障事項。據日本內閣行政官員表示，此項聲明主要在凸顯政府對於網路犯罪之正視，並且避免其擴散成為國家安全問題。國內過去也不乏網路金融犯罪事例。釣魚式攻擊是最常見的攻擊手段，即透過仿製與網路銀行相同之網站，欺騙使用者輸入帳號與密碼，進而取得相關認證資料；對於此類攻擊，金融機構應提醒使用者詳細檢查網路銀行的網址，進行防範。再者，也常見到將跨站指令碼攻擊（XXS）與釣魚式攻擊合併運用者，亦即透過建置看似安全的網址，欺騙使用者進行點選並輸入帳號及密碼，網路銀行必須在伺服器防範此類攻擊。另外，鍵盤監聽也是常見的手段；針對此類攻擊，使用者必須先行確認自己使用電腦的環境安全，而網路銀行端則應透過提供密碼輸入控制項和軟鍵盤以防範此類攻擊。科技的創新帶動金融服務的創新，然而各類高科技犯罪手法一日千里，防不勝防。各金融機構除應設有相關資訊專才進行安全防護外，更建議形成多層次的防護策略，並編列應有預算保護DNS伺服器與其他重要基礎架構、提升IT架構的調控性與可見度，相信可讓金融業攻守俱佳，盡情表現。（作者是台灣金融研訓院金融研究所副所長暨大陸金融研究室督導）迷你倉沙田