【大紀元3月8日報導】(中央社記者孫承武台北8日電)面對層出不窮的詐騙案,民眾百思不得其解「個資是怎麼外洩的?」。警方今天找到答案「SQL Injection」(資料隱碼攻擊)。
刑事局科技犯罪防制中心指出,所謂的「資料隱碼攻擊」(SQL Injection),就是利用網站程式存取資料庫的漏洞,將惡意指令嵌入資料庫SQL查詢語言,藉此欺騙資料庫的邏輯判斷,進而取得能夠執行資料庫指令的權限,這已是具10年以上歷史的老問題,近年來發展成自動化攻擊工具。
警方分析,國內網路成長帶動電子商務蓬勃發展,而民眾消費轉向電子商務活動熱絡,造就國內購物網站如雨後春筍般林立,加上民眾選便宜心態,罔顧交易網站本身是否具備足夠安全機制,紛將個人資料上網填寫,為了一時便宜卻賣了自己隱私安全。
近年來網路交易個人資料外洩,詐騙集團利用來偽冒成商家客服人員名義,打電話給被害人以「操作 ATM解除分期付款」詐欺手法,成功騙取匯款,這類案件層出不窮,主要歸咎原因為小規模業者或個人工作室,僅以簡易套裝軟體及架站工具,甚至是免費或盜版軟體,來建構電子商務網站,提供客戶訂購商品,鮮少投入一定預算與人力在資安防護工作,使得擁有大量交易個資的購物網站及賣家電腦容易成為駭客鎖定入侵目標。
刑事局舉微軟公司委託IDC國際數據資訊製作「IDC2013 非正版軟體危險調查報告」,有45%的使用者會透過網站或P2P程式下載盜版軟體,而這些網路下載的盜版軟體,其中有78%藏有間諜軟體,36%附有木馬程式。
這些惡意程式不僅會停止電腦的自動更新功能,還會將網路防火牆關閉,駭客透過木馬程式入侵用戶電腦,紀錄用戶電腦的每個鍵盤動作,包含瀏覽網站、輸入網路銀行的帳號及密碼等。
甚至能遠端開啟用戶電腦上的網路攝影機(Webcam),將電腦前的畫面透過網路傳出去,不僅用戶個資外洩,甚至連個人隱私都被看光;且每一次感染病毒或惡意程式後,公司營運機密資料遭竊所造成的損失及花費在電腦檢測與資料回復上的支出相當可觀。
刑事局呼籲電子商務業者,應多重視網站本身安全機制,例如網站本身儘量勿委外設計、聘請專屬網路與資訊管理人員、架設防火牆、防毒軟體、不定期檢查網站紀錄(LOG)、不開啟來路不明惡意程式、定期接受資安訓練等。
尤其「個人資料保護法」已於去年10月1日正式實施,使用盜版軟體或來路不明的破解軟體,除了容易造成個人及企業用戶龐大金額損失外,還得承受交易個資外洩與個人隱私遭受侵犯的風險,且每當系統有重大更新時,無法即時更新系統漏洞、防範駭客入侵,更是造成難以估計的損失之一,因此,企業與個人用戶在選擇系統軟體安裝應透過正常管道與合法授權,以保護消費者個人資料與隱私權。