所謂的 商業流程入侵 (BPC) 是指駭客暗中對企業的電子化流程或執行這類流程的系統動手腳,藉此獲取龐大利潤的一種攻擊手法。由於這類攻擊通常相當隱密,因此企業不容易察覺或發現流程有何異樣,因為遭到入侵的流程依然能夠正常執行,只是結果與預期不同。
BPC 攻擊最大的特點就是歹徒對其攻擊目標的內部網路和系統以及該機構所採用的標準非常熟悉。因此才能駭入、滲透、挾持其商業流程,例如:會計、採購、製造、出納及配送等流程。
一個 BPC 攻擊的近期案例就是 孟加拉中央銀行遭到網路洗劫 。該起攻擊造成了高達 8,100 萬美元的損失,而且歹徒顯然非常熟悉 SWIFT 金融平台的運作,並且知道採用這套平台的銀行會有什麼樣的弱點。歹徒一旦入侵了孟加拉中央銀行的電腦網路,就能查出其內部的匯款程序,進而掌握該銀行的憑證來執行非法的匯款交易。
BPC 攻擊的目標還不只金融交易。2013 年,比利時安特衛普港 (Antwerp Seaport) 的貨櫃管理系統 即遭駭客入侵以走私古柯鹼和海洛因,並且成功越過了海關。
BPC 所使用的工具和技巧,與針對性攻擊大同小異,只不過其目的不在竊取敏感資料,而是藉由竄改受害者的商業流程來詐取錢財。BPC 有點類似所謂的「變臉詐騙」(亦稱「商務電子郵件入侵」,簡稱 BEC),因為兩者都會攔截正常的商業交易,只不過 BEC 駭客比較仰賴社交工程技巧,而不是直接篡改商業流程來達成目的。
商業流程入侵的種類
轉移匯款目的地
這類 BPC 攻擊利用的是目標機構出納系統的安全漏洞,因此駭客可透過正常管道將錢匯出去。
一個最好的例子就是薪資轉帳詐騙:駭客或內賊在薪資系統當中增加一些幽靈帳戶或假冒員工來從事薪資轉帳詐騙。
銀行轉帳詐騙也屬於這類:歹徒找到銀行轉帳系統的漏洞,然後篡改匯款帳號或者利用惡意程式將錢轉到自己帳戶。
運送非法物品
這類 BPC 攻擊利用商業流程來運送非法物品或傳送惡意軟體,進而獲得龐大利潤。
操縱金融交易
這類 BPC 攻擊主要目標在於影響金融交易、重大商業決策 (如併購) 等等。駭客的作法是在重要的業務系統或流程當中插入一些惡意資料。
舉例來說,駭客若要操縱股票交易,可以駭入交易軟體或系統來刻意操縱某些股票的價格。不肖的投資人就可經由這樣的市場波動而獲利數千甚至數百萬美元。
已知 BPC 案例發生時間點
- 孟加拉中央銀行 損失金額 8,100萬美元
- 安特衛普港 損失金額 1,700萬美元
- Banco del Austro (厄瓜多) 損失金額 1,200萬美元
BPC 防禦策略
- 分析來自不同感應器的資訊以尋找異常情況
分析來自各感應器或防護產品的資料並建立基準值,以方便偵測任何異常情況。定期稽查所有記錄和交易,然後務必找出缺失以提升企業環境的資安情勢。
- 找出類似產業實務和流程的統計偏差
行為監控與入侵防護這類資安技術可偵測或標記不正常或可疑的網路活動。除此之外,企業應該再對照其他產業實務和流程或是公開來源的類似資料,以進一步找出其他可能的結果和期望值。
- 藉由營運安全 (OPSEC) 攻防演練來強化商業流程的安全
聘請外部團隊來扮演 攻擊方 ,從各種角度 (技術、工具、流程、現有資安措施等等) 模擬所有可能的攻擊,如此可測試企業的資安是否完備,並找出平常容易忽略之處或缺失。該團隊應該由具備洗錢防治背景的鑑識分析會計師來組成。
- 定期執行品保、品管與滲透測試
滲透測試、品質保證和/或品質控管,都是用來發掘網路內部重大缺失 (如駭客可利用漏洞) 的作法。然而,滲透測試人員應以駭客已經取得最高存取權限為前提,來思考現有流程是否能夠在實際攻擊當中阻止駭客。此外,我們也建議這類測試應專注於業務流程的邏輯,以便發掘現有流程可能遭到利用的缺失和弱點。
- 限制腳本可執行的動作
駭客可能找出業務流程邏輯上的缺失,然後利用系統中的腳本執行某些動作。面對這類威脅,只需讓一些非必要的流程無法執行即可防範。
- 職務分工
要防範內賊威脅,關鍵就在於將職務分散給不同部門的員工。例如,負責財務的人員不能又擔任 IT 人員。同理,負責產品測試的團隊與負責生產線的人員必須分開,以防止有人圖謀不軌。
- 重要操作必須要有兩位來自不同團隊或網路設定的人員共同執行
由於BPC攻擊利用的是正常的流程,因此才難以防範。雖然要求兩名人員共同執行某些動作無法完全遏阻駭客的攻擊,但卻能讓他們必須花費更多力氣才能得逞。銀行就是一個很好的例子,銀行的作業經常需要兩名員工共同執行,因此,歹徒就必須同時取得特定兩位人員的憑證。
- 訓練員工如何分辨社交工程攻擊
資安意識的訓練能有助於高階經理 (CEO、CFO 等等)、一般員工,以及協力廠商人員分辨及應付BPC攻擊。其他一些基本的資安習慣,如:僅安裝可信賴的應用程式、在輸入資料之前先確認網站的真實性等等,也都能在一開始就防範這類攻擊。