在零售業一起可能是有史以來規模最大的資料外洩事件當中,駭客竊取了大約 4,000 萬名客戶的信用卡/現金卡資料。該零售業者總計大約有 7,000 萬名客戶的個人資料落入駭客手中,歹徒成功入侵了數十年如一日的老舊銷售櫃台 (POS) 系統網路。
然而,資料外洩事件並非僅侷限於美國,南韓一家金融監理機構也在一場類似的攻擊當中損失了大約 20 萬名客戶的信用卡資料。
POS 系統防護不易,但攻擊上卻相對簡單。這類系統有三種可能的攻擊管道:駭入 POS 裝置、駭入網路通訊、攻擊特定伺服器。事實上,光是本季我們就看到多個 POS 惡意程式家族,包括:會檢查是否有信用卡資訊可竊取的 ALINA、會運用 Tor 洋蔥路由器來隱藏行蹤的 FYSNA,以及會將竊取到的資料上傳至幕後操縱 (C&C) 伺服器的 HESETOX。更糟的是,我們在 2014 年第一季所發現的 POS 惡意程式數量是 2013 年一整年的七倍有餘。
此外,大型資料外洩事件還需花費龐大的資源來處理,因為銀行必須將每張信用卡的更換成本 ( 3 至 5 美元) 乘上受害者數量。
所幸,網路系統管理員可採取一些進階威脅防護方案來保護其 POS 系統網路以防範資料外洩,進而避免發生嚴重的後果。由於每一個網路皆有其獨特性,因此他們可以利用客製化的解決方案和防禦策略來防範攻擊。
「資訊及通訊技術 (ICT) 產業的大多數人在心態上都應假設自己已經遭到入侵。有了入侵應變與矯正措施,企業就能維持正常營運而不怕被疲勞轟炸,也不怕因事件而倒閉。」
—JD Sherry (技術暨解決方案副總裁)
新的物聯網 (IoT) 裝置出現瑕疵
市面上多款物聯網 (Internet of Things,簡稱 IoT) 裝置成了人們放大檢視的焦點,因為研究人員在上面發現了一些大剌剌的漏洞。 繼續閱讀
