近日,警政署刑事警察局公布偵破一起國內電商盜刷事件,指出有電商公司在今年2月中旬發現,有不明人士透過撞庫攻擊手法,得以非法登入會員帳號,並造成5名會員損失23萬元,警方在3月接獲報案,經蒐證並向臺灣新竹地方法院聲請搜索票後,現已逮捕24歲的許姓嫌犯。

這起事件發生在東森購物網站,包括中央社等媒體已從警方獲此資訊。但值得注意的是,後續我們向警方洽詢,才得知該嫌犯其實曾經針對多家知名網購平臺進行撞庫攻擊,有些事件仍在偵辦中。

手法是利用民眾使用同一組帳號密碼於不同網站服務的習慣

基本上,俗稱撞庫攻擊的手法,就是在資安新聞裡面經常被提及的帳密填充攻擊(Credential Stuffing Attacks)。簡單來說,嫌犯取得網路上已外洩的使用者帳號與密碼,之後嘗試登入於其他網站服務,就有機會成功登入。

這種攻擊之所以能奏效,就是因為有用戶在不同服務中,使用了同樣的帳號與密碼,只要其中一個網站的使用者資料庫外流,等於自己在其他網站服務使用的帳密也外流。

對於東森購物用戶遭盜刷的事件,相關公告與報導並未針對細節說明,只提及撞庫攻擊手法一旦攻擊成功,就竄改會員電子信箱並破解會員信用卡驗證碼,以及指出嫌犯只有國中畢業的學歷,犯案技術是網路上自學而來。對於詳細的盜刷情形,我們聯繫到刑事局偵察第九大隊(第二隊)隊長羅聰興,他表示,該電商是在2月中旬發現,自家電商網站服務有登入異常情形,而警方是在3月接獲他們報案。

在調查結果中,該嫌犯先是透過撞庫攻擊手法,嘗試取得東森購物網站用戶的登入權限,一旦非法登入成功,嫌犯會變更用戶的電子郵件信箱,使原用戶被盜刷當下,無法收到電商寄出的通知信。

至於嫌犯是如何竊取使用者信用卡資料?羅聰興表示,主要是用戶在購物平臺上儲存了信用卡資料,接下來,嫌犯會利用暴力破解方式,找出正確的信用卡背面3位驗證碼。

另外我們好奇的是,既然嫌犯已經取得外洩帳密,除了東森購物,其他購物網站或平臺是否也有同樣情況。對此,羅聰興表示,該嫌犯以撞庫攻擊手法嘗試非法登入,多家知名電商都有遭遇,但因為受理報案單位不同,還沒有併案處理。由於還在偵辦中,不便透露,因此,關於哪間電商最早受害?或是最早發現報案?或是不受影響?或是有多名受害者出現才警覺等問題,他無法給予我們答覆。

整體而言,這次針對電商的攻擊事件,還有一些狀況需要再釐清。對於同樣是受害者的電商業者,我們也正在聯繫東森購物當中,希望瞭解他們如何發現購物網站出現登入異常,有多少帳戶遭非法登入,以及驗證碼為何可輕易被暴力破解?可惜,直到截稿為止,他們尚未答覆。

基本上,民眾信用卡若遭盜刷,只要即時向發卡銀行客服聯繫處理,通常待銀行查證屬實後,消費者無須負擔盜刷費用,這已經行之有年。而在警方稍早公布的資訊中,也曾說明消費者向銀行表示信用卡遭盜刷,本身並沒有購買遊戲點數後,而銀行調查後已確認責任歸屬,就不會向消費者請款,也不會付款給電商公司,這表示電商公司需自行負責這方面的損失。

此案也突顯幾個資安議題,首先,在網站服務異常登入偵測方面,電商應有足夠的能力及早察覺異常情形,而使用者也需體認到網站帳密外洩的情形相當頻繁,因此,要有這方面的意識而不應該使用相同帳密於不同網站。而多因素驗證的機制,更是少見於國內網路購物平臺。

事實上,為防範駭客以此手法取得我們在網站上的身分,近年瀏覽器就有相關提醒機制。例如,Firefox已整合Have I Been Pwned(HIBP)網站,提供Firefox Monitor,Chrome現在也內建通知密碼外洩的功能,都是要呼籲使用者自保,確認自己的帳號,可能受到那些資料外洩事件影響。

其次,在購物網站儲存信用卡資料方面,雖然帶來了方便,下次購物可以不用重新輸入,但平臺業者需考量這方面資料的儲存安全,以及用戶帳號安全,而使用者也該注意相關風險,或是考量已使用代碼化技術的電子支付,而不需要再將信用卡號輸入或儲存至網站服務,降低真實信用卡號的外曝風險。


熱門新聞

Advertisement