圖片來源: 

周峻佑攝

透過網路銷售與購物的行為相當盛行,然而這樣的現象,同時成為駭客下手詐財的目標,導致詐騙事件不斷,這種現象不只民眾必須提高警覺,企業也需要留意自家的網站,也可能成為歹徒用來行騙的來源,導致商譽受損。在10月3日舉行的臺灣資安通報應變年會中,臺灣電腦網路危機處理暨協調中心(TWCERT/CC)通報應變小組特別提及現在的資安威脅態勢,並提出個人和企業的自保之道。

通報應變小組小組長沈紀威引用了165反詐騙網站的資料,指出網路購物的詐騙不斷,其中,目前濫用最為嚴重的平臺,並非購物商城或是拍賣網站,而是臉書。他特別指出,這種一頁式的濫用臉書廣告詐騙手法,往往盜用廠商的圖片與影片,輔以遠低於市價行情等手段,引誘受害人點選網址及購買,然而付款之後,不是買家捲款消失無蹤,就是收到的貨品與實際標榜的不符,卻無法退貨與退款,導致受害者求償無門。

臉書已成網路購物詐騙濫用的溫床

事實上,在165反詐騙網站中,我們可以發現,他們提供了每個星期接獲民眾通報的統計資訊,其中列為假網拍的高風險賣場平臺,濫用臉書平臺的事件,幾乎可說高居首位,遠遠超過使用其他平臺。以該網站10月3日公告的資料而言,9月24日至30日之間,使用臉書平臺的疑似假網拍賣場通報案件,就有117件,其次則是Viagogo和PChome,分別為11件與10件。而前面從去年8月21日開始的統計結果,濫用臉書的情況可說是幾乎周周榜上有名,而且往往也是當周通報案件數量最多的詐騙管道。

沈紀威表示,濫用臉書的一頁式廣告詐騙頁面中,無論是臺灣的TWCERT/CC,或是其他國家的CERT或CSIRT組織,都難以出面移除這種詐騙廣告,使用者需要自我提高警覺,加以防範。在辨識是否為購物詐騙的方式上,沈紀威提出了3種方法,包含了價格的合理性、賣家是否催促下單,以及最好要貨到才付款等。

而在電腦的操作上,他也提到了額外的防堵措施,像是民眾應該充分了解社群網站的隱私權政策,並調整廣告偏好設定,而遇到疑似詐騙的購物粉絲團時,主動取消追蹤,同時檢舉粉絲專頁等措施。再者,一般使用者在自己的電腦瀏覽器上,也要安裝阻擋網站廣告的擴充套件,像是Adblock Plus或AdGuard等,避免連結到惡意廣告網頁。

沈紀威也提到,臉書其實加入了無店面公會,因此,若是在臉書購物發生消費糾紛時,受害者也可透過臉書尋求調解。

企業也必須防範自家網頁與網址冒用的情形

雖然,網路購物詐騙,通常造成的是個人的金錢損失,然而,若是網站遭到DNS轉址濫用,或是由於企業網站的資料外洩,導致駭客能夠得手,企業往往也會因此導致形象受損。基於上述的原因,看待詐騙事件,沈紀威認為,企業也無法置身事外。

一般而言,DNS網域轉址的目的,原先是讓網站所有者能提供使用者好記的網址,其中,市面上也不乏許多標榜免費DNS轉址的服務,但沈紀威指出,提供這種服務的廠商,主要的營運收入來源,就是他們附加在轉址網站外框的廣告,因此,業者往往為了轉址服務中能增加廣告曝光的機會,使用者申請的流程並不嚴謹,可以不經網站的所有者同意,就將知名網站加工,轉換成其他的網域。這樣便容易成為有心人士濫用的管道,像是使用與正牌網站相同的網站標題,然後購買搜尋引擎的排行,誤導使用者瀏覽轉址後的網站。以往出現的手法,是利用名稱相似的網址內容,例如o換成0、1換成l的方式,企圖誤導使用者,但現在很可能只是利用免費服務將DNS轉址後,讓使用者從搜尋引擎能輕易找到,誤以為就是想要檢視的網頁。

這樣的方式,由於沒有直接攻擊企業的網站,管理者往往不容易察覺。

沈紀威也舉出,由UFC網站提供免費DNS轉址的網站數量,就多達2220筆。因此,對於網站的管理者,他提醒要不時留意,可用關鍵字搜尋的方式,檢查自家網站是否出現冒用情事,一旦出現就應該向網域轉址服務平臺反映,並通報CERT或CSIRT組織,進行移除;而對於使用者的部分,也要小心從搜尋引擎找到的連結,未必會是正確的網址。

至於網站主機資料外洩的問題,沈紀威認為,臺灣許多小型企業,想要透過網路銷售商品,但受限於人力資源等因素,購物網站普遍委託網路開發廠商建置,導致企業對網站的系統架構無法掌握,而且,網站的開發業者也因人力、技術,以及成本考量,有關的安全測試和檢查便可能遭到忽略。根據他的經驗,臺灣的購物網站普遍存在許多現象,像是原始碼本身就含有弱點、或是權限沒有有效的管理等。

其中,在網站系統的弱點管理上,許多人可能會想到的是未知攻擊或是零時差漏洞,不過,沈紀威說,實際上已知漏洞的管理更為重要,因為許多攻擊者深知企業可能沒有執行修補,利用已經公開的漏洞發動攻擊的比例,遠比開採零時差漏洞的做法要來得多。因此,他認為企業應重視已知弱點的管理,避免讓駭客能夠隨意入侵網站主機。


Advertisement

更多 iThome相關內容