所謂的 商業流程入侵 (BPC) 是指駭客暗中對企業的電子化流程或執行這類流程的系統動手腳,藉此獲取龐大利潤的一種攻擊手法。由於這類攻擊通常相當隱密,因此企業不容易察覺或發現流程有何異樣,因為遭到入侵的流程依然能夠正常執行,只是結果與預期不同。
BPC 攻擊最大的特點就是歹徒對其攻擊目標的內部網路和系統以及該機構所採用的標準非常熟悉。因此才能駭入、滲透、挾持其商業流程,例如:會計、採購、製造、出納及配送等流程。
一個 BPC 攻擊的近期案例就是 孟加拉中央銀行遭到網路洗劫 。該起攻擊造成了高達 8,100 萬美元的損失,而且歹徒顯然非常熟悉 SWIFT 金融平台的運作,並且知道採用這套平台的銀行會有什麼樣的弱點。歹徒一旦入侵了孟加拉中央銀行的電腦網路,就能查出其內部的匯款程序,進而掌握該銀行的憑證來執行非法的匯款交易。
BPC 攻擊的目標還不只金融交易。2013 年,比利時安特衛普港 (Antwerp Seaport) 的貨櫃管理系統 即遭駭客入侵以走私古柯鹼和海洛因,並且成功越過了海關。
BPC 所使用的工具和技巧,與針對性攻擊大同小異,只不過其目的不在竊取敏感資料,而是藉由竄改受害者的商業流程來詐取錢財。BPC 有點類似所謂的「變臉詐騙」(亦稱「商務電子郵件入侵」,簡稱 BEC),因為兩者都會攔截正常的商業交易,只不過 BEC 駭客比較仰賴社交工程技巧,而不是直接篡改商業流程來達成目的。
商業流程入侵的種類
轉移匯款目的地
這類 BPC 攻擊利用的是目標機構出納系統的安全漏洞,因此駭客可透過正常管道將錢匯出去。
一個最好的例子就是薪資轉帳詐騙:駭客或內賊在薪資系統當中增加一些幽靈帳戶或假冒員工來從事薪資轉帳詐騙。
銀行轉帳詐騙也屬於這類:歹徒找到銀行轉帳系統的漏洞,然後篡改匯款帳號或者利用惡意程式將錢轉到自己帳戶。
運送非法物品
這類 BPC 攻擊利用商業流程來運送非法物品或傳送惡意軟體,進而獲得龐大利潤。
操縱金融交易
這類 BPC 攻擊主要目標在於影響金融交易、重大商業決策 (如併購) 等等。駭客的作法是在重要的業務系統或流程當中插入一些惡意資料。
舉例來說,駭客若要操縱股票交易,可以駭入交易軟體或系統來刻意操縱某些股票的價格。不肖的投資人就可經由這樣的市場波動而獲利數千甚至數百萬美元。 繼續閱讀