ISACA Journal
Volume 1, 2,014 

Translated Articles 

了解網路犯罪的浪潮 Understanding the Cybercrime Wave 

作者: Tommie Singleton, CISA, CGEIT, CPA 

事實是,在過去的幾十年,網路犯罪已經取代了很多的組織犯罪。雖然還是有幫派,有組織的幫派,但他們是相當不同的。首先,幫派成員並沒有頻繁的處在地理上的相同位置,其次,他們可能是國際性的,第三,這類幫派依靠的是科技技能而不是蠻力或者弄虛作假去進行犯罪。第四,最後所拿到錢的手段也跟以往大不相同。網路犯罪在近年來被視為一個新的犯罪浪潮,犯罪的範圍跟風險(嚴重的惡意攻擊的危險)相比幾年前,網路犯罪可以被看作近年來的犯罪浪潮。

首先,“網絡犯罪”一詞的定義需要廣泛和普遍接受的界定。據一位權威來源,網絡犯罪(或網絡攻擊)通常是指通過互聯網進行的犯罪活動1。網絡犯罪的例子包括竊取組織的知識產權(IP)、盜取網上銀行賬戶、製作和在其他計算機上傳播病毒、張貼在互聯網上的商業機密信息,以及破壞一個國家的關鍵國家基礎設施2

2013 年2 月,1.78 億美國人觀看了三百三十億的線上視頻節目3。此統計數據表明知識產權在互聯網上光是電影的價值。例如,Netflix 公司收取Disney 和Epix 的特許權報酬的內容每年達350-400 萬美元4

接下來,所有的IT 審計人員需要掌握這個問題的範圍。根據Ponemon Institute 顯示,網絡犯罪的受訪者其 2012 年的調查顯示,以全球範圍內的平均年度成本為840 萬美元,美國內是890 萬美元5,這比從上一次調查增 加了6%。受訪者還報告說,他們每個實體每週經歷了1.8 次的成功攻擊,與2011 年同比增長42%6

調查結果顯示網絡犯罪的規模和年度成本之間的正相關關係。然而,規模較小的組織有顯著較高的資本費用(1,324 美元),高於規模大的組織(305 美元)。這些統計都表明網絡犯罪正在增加中。

最後,IT 審計人員需要了解網絡犯罪攻擊的階段或元件。首先,所使用的網絡犯罪的工具或諸多工具,包括拒絕服務(DoS)程序,病毒和木馬等。其次是傳遞方法。傳遞方法使用詞為向量。向量的例子是釣魚郵件、偷渡式網站、允許未授權訪問系統或數據, 以及先進的持續威脅(APTs)。最後是網絡犯罪的目的或目標。例子包括竊取網路位置,竊取資金或中斷系統等。

網絡犯罪分子對受害者而言往往是外來者,但根據Ponemon Institute,三個最昂貴的攻擊裡有一個與惡意的內部人士有關7。 一個典型的內幕網絡犯罪是一個員工通過自動清算所(ACH),電子資金轉賬(EFT)或電匯。最終,企業必須保護自己免受外部和內部威脅和風險。

要了解有關網絡犯罪的基本知識,包括潛在損失的類型(誰是受害者,有什麼被盜和受害者如何受苦),基本整治,趨勢和資源。

由於網絡犯罪類型導至潛在的損失誰是網絡犯罪

的受害者?
網絡犯罪的受害者的性質通常是一個人或實體是否有一些網絡罪犯可以竊取的,這終將滿足他們的目標,這通常是金錢的功能(見圖1)。因此,很自然的,最受歡迎的目標受害人就是金融機構。一部分的驅動原因因為金融機構金錢的集中處,且常見的網路犯罪行為如偽造信用卡也使金融機構成為最大的目標。干擾各種銀行服務及美國金融基礎設施的DoS攻擊也持續成長中。

這使網路罪犯有另一個偏好的目標:任何持有大量信用卡資料的單位,如金融機構及零售業者。2007年美國零售商T.J. Maxx 遭受駭客攻擊時被竊取了四千五百萬筆信用卡號碼,而賠償客戶之金額達一億美元。此案由美國司法部起訴,據稱其為史上最大規模的駭客資料竊盜。共十一名嫌犯被控非法入侵該零售商未經加密防護的網路。類似的事件也發生在美國信用卡公司CardSystems Solution上,其遭駭客竊取了約四千萬筆的信用卡資料。關鍵就在於那數以千萬計的信用卡資料對網路罪犯的吸引力。但他們有時也對數量較少但未經加密或或其他方式所保護的中小型企業之資料所吸引。

對政府單位而言,來自網路罪犯的具體威脅如:民族甚至是國家級的恐怖主義及攻擊。某些政府被報導指出其雇用職業駭客來攻擊政府的系統、資料及IP(軍事武器級),同樣也攻擊部分企業。這樣的情況使得負責政府資安的人員必須面 臨困難且危險的挑戰。

部分網路犯罪將目標集中在中小型企業上,因為具備足夠資安技術來防範攻擊的中小型企業相對較少。例如帳號接管 (corporate account takeover cybercrime8) 即以中小型企業為主要目標。因此在稽核中小型企業時,電腦稽核人員應該協助管理階層進行防範如帳號接管及其他形式之攻擊的風險。

網路罪犯要的是什麼?
現今的犯罪世界中幾乎所有有價值的事物背現今的犯罪世界中幾乎所有有價值的事物背取資金、有時是為了使目標受到其他損害、有時是為了提升自己的知名度以得到高薪的工作。但通常最終的目的都是竊取金錢。

此目標可以透過竊取個體或組織的銀行憑證來達成。更甚者透過竊取個人身分識別資訊(PII) 來進行開人頭戶、貸款等其他利用他人身分來進行的非法取得資金行為。

更直接的做法是竊取信用卡資料,如此可避免空帳戶及廢卡的情形,直接使用其信用貸款或線上購買各種可輕易變現的物品。而竊取信用卡資料有時就是竊取PII的最終目的。

然而前三個網路犯罪目標在圖2 中是相當著名的,最後一個並沒有受到大量的關注:IP、資料以及/或是內容。IP 對於罪犯擁有一個立即的價值。但是網路罪犯會持續去發明各種方法,以便去得到跟金錢相關的資料和內容。一個新的方法就是密碼鎖病毒。

密碼鎖病毒架構運作如下:網路犯罪者使實體電腦系統受上述病毒感染,通常藉由釣魚郵件或是偷渡式網站。此病毒接著產生一個私人和公共鑰匙,並將所有在伺服器端或是網路的資料翻譯成密碼型態。然後,網路犯罪者將發送抵押訊息說明他/她將提供私人鑰匙價值300~500 元美金,從此可知將花費更多費用去取回這些資料,即使這個實體有效率企業永續計畫包含備份資料。問題是,假如網路犯罪者曾經能夠去感染實體的系統,那麼該如何預防再次發生呢?還有什麼其他的惡意軟體做了網絡罪犯在執行密碼鎖病毒前?不論受害者決定如何,實體需要認真且全面性防護的改變。

有時候一個網路犯罪者是出於非財務性的滿足。舉例來說,那些使用阻斷性服務攻擊或是分散式阻斷性攻擊並沒有得到金錢報酬;取而代之的是,他們渴望得到高度關注。其他目的可能是分配一病毒(為了相似的名聲目的)或是阻斷政府公共建設又或者是私人服務(例如:一個主要網站)。

從網路犯罪得到什麼傷害?
它開始於事件的結尾---損失金錢,通常是從某個財務機構的帳戶。有時候是直接被偷取(例如公司帳戶接管,ACH/ EFT/wire 轉移詐騙),其他時候是間接獲得-偷取受害者的身分識別碼和公開帳戶。

雙重的攻擊中還有附帶損害。首先,實體的數據或系統可能已經受到了一些損壞或丟失。恢復或復原數據、系統或計算機服務是有成本的。舉例來說,在這密碼鎖病毒中,一旦資料被公開/ 私人鑰匙譯成密碼的話,那這實體需花費數個資源去復原資料-無論是通過還原備份或支付贖金。第二,實體系統的漏洞已經被利用。無論實體是否在攻擊發生前就知道,隨著攻擊發生,著手去修正安全性問題來預防問題再次發生是最符合實 體的利益。這類安全修護的成本將會非常可觀。

附帶損害也可以別種形式出現,例如,當地或區域性的罰款或處罰和與遵從法律有關的成本。此外,如果該實體遭受顧客借記卡/信用卡數據或是PII的損失,那麼客戶可能在法庭上控訴受害人要求賠償。最後,對受害人有公眾形象的損害。一旦大眾發現客戶自己的借記卡/信用卡資料或 PII從一個特定的實體被盜,那其他人可能會多加考慮是否該與此組織做生意。

如何抵禦網絡犯罪:入口點

如同IT 審計人員所執行的許多稽核,最好抵禦網絡犯罪的方法是進行有效的風險評估。這過程應引導出風險的評等。一旦該過程完成後,該實體必須設置風險的門檻,解決這些達到或超過門檻值的風險領域。

雖然它可能是一個過於簡單化,矯正改善從了解起初的進入點在哪裡開始,對識別的風險,並找到一個有效的矯正改善方法,去預防和檢測入侵。例如,針對公司帳戶接管,進入點是當網絡罪犯使用網絡釣魚郵件或偷渡式網站來攻擊(蓄意和單獨地選擇)會計主管。因此,一個可能的解決方案是讓一台從來沒有訪問電子郵件或網頁的電腦專門為在線交易(ACH,EFT 和電匯)來服務。

另一個修補的關鍵是要去明瞭對被審計者有高風險的工具和向量,同時思考如何去修補特定的工具或向量。幸運的是,有大量的資源可以提供給IT 審計人員使用。

網絡犯罪趨勢

在過去的幾年裡,當前犯罪的一些事實中,顯示出一些趨勢。首先,網絡犯罪已經從以針對受害者,如魚叉式網絡釣魚轉變成廣泛的攻擊,如大規模的網絡釣魚電子郵件。然而,網絡犯罪超越魚叉式網絡釣魚。公司帳戶接管犯罪手法是針對受害人具有的特殊性。其中一個因素是這些技術團隊經常針對中小企業下手,因為他們相信比起一個更大的業務企業,中小企業可能擁有較少的信息安全保護。類似的目標發生在借記卡/信 用卡數據被盜上。犯罪分子瞄準卡處理器,銀行和其他有可能有成千上萬的文件實體。雖然這些機構都很大,犯罪分子的技術技能,如 Albert Gonzalez (T.J. Maxx breach) 說明這些犯罪分子當涉及到了IT 是多麼精明的;他採用先進的IT 技術和工具在四年間偷了近200 萬張借記卡/信用卡9。另一個例子是進階持續性威脅(APT)載體。它被稱為“持久性”,因為網絡犯罪標識一個特定對象,然後在該目標上遍地犯下所需網絡犯罪。

網絡犯罪修復技術

ISACA 對網路犯罪問題,擁有相當多的解決資源,包括在雜誌上頻繁出現的文章、主題和列(信息安全問題by Steven J. Ross)。它也有書籍,研討會和會議上的議題。

針對特定的網絡安全議題,也可以用搜索引擎在 ISACA 找到最佳實踐(例如,邏輯訪問控制、密碼、防火牆、BCP,與加密等)。並有一些可靠的報告,標準和框架,其中有許多每年都會更新:

  • 微軟安全情報報告
  • Verizon 的數據洩露調查報告
  • Ponemon Institute 的 (有關網絡安全的 各種報導)
  • Govinfosec 網站
  • 由ISACA 提供的商業模式的信息安全(BMIS)
  • 美國國家標準與技術研究院(NIST)的標準

結論

有證據顯示在最近幾年一個新的犯罪浪潮已經開始:網絡犯罪。它不再是您的組織將被攻擊的問題,而是什麼時候會被攻擊。網絡犯罪的代價在各方面是很顯著的。

IT 審計人員為了對風險作出反應,他們需要了解網絡犯罪是如何犯下的:一個或多個工具,一個或多個向量,還有最終的結果(犯罪)。進行有關網絡犯罪的有效的風險評估,IT 審計人員需要了解的很可能是誰是受害者,什麼可能是網 絡犯罪分子和可能導致各種網絡犯罪的潛在損失。

最昂貴的攻擊是那些與DoS 有關的攻擊,惡意的程式內部和基於Web 有關的攻擊10 。為緩解這種攻擊,需要使用技術,如安全事故和事件管理(SIEM); 入侵防禦系統;應用程序安全測試;與企業治理,風險管理和法規遵從(GRC)解決方案。信息的丟失或誤用是一種網絡攻擊的最顯著的後果11

總而言之,好消息是有補救的解決方案。並且擁有豐富的資源可以提供給IT審計人員,針對這一波的犯罪浪潮幫助捍衛自己的組織。然而,這將需要教育和發展控制和防禦阻止網絡犯罪的一些盡職調查。

Endnotes

1 Ponemon Institute, “2012 Cost of Cyber Crime Study: United States,” October 2012
2 Ibid.
3 comScore, “comScore Releases February 2013 U.S. Online Video Rankings,” 14 March 2013, www.comscore.com/Insights/Press_Releases/2013/3/comScore_Releases_February_2013_U.S._Online_Video_Rankings
4 Seeking Alpha, “Netflix: Rising Content Costs Stump Growth,” 1 February 2013, http://seekingalpha.com/article/1150191-netflix-rising-content-costsstumpgrowth?source=google_news
5 Op cit, Ponemon Institute. The sample was of 56 organizations in various industry sectors in the US, but many are multinational firms.
6 For an example of IP cybercrime, research the “Megaupload” case and its founder, Kim Dotcom, who was arrested in January 2012 on cybercrime charges.
7 Op cit, Ponemon Institute
8 The corporate account takeover generally follows this pattern: A cybergang identifies a target, an SME or small to medium-sized government agency. It then targets an accounting officer who is likely responsible for online banking, particularly ACH/EFT/wire transfers. It sends a phishing email to that person in hopes of infecting his/her computer with a Trojan. It steals banking credentials from that person. It sets up money mules to handle stolen cash. It uses a tool to grab control of the infected computer and log onto the bank account from the accounting officer’s own computer using his/her credentials. The bank’s system of controls suspects nothing. The criminals begin to transfer funds out of the bank about US $10,000 at a time to money mules, until the account is empty. The money mules keep a fee (usually about 5 percent) and send the rest on to the gang’s main bank in a distant country.
9 Miami Herald, “Identity Theft: Miami Hacker Cyberthief of the Century?,” 23 August 2009
10 Op cit, Ponemon Institute
11 Ibid.

作者: Tommie Singleton, CISA, CGEIT, CPA, is the director of consulting for Carr Riggs & Ingram, a large regional public accounting firm. His duties involve forensic accounting, business valuation, IT assurance and service organization control engagements. Singleton is responsible for recruiting, training, research, support and quality control for those services and the staff that perform them. He is also a former academic, having taught at several universities from 1991 to 2012. Singleton has published numerous articles, coauthored books and made many presentations on IT auditing and fraud.

譯者:徐立群,電腦稽核協會編譯出版委員會委員,國立成功大學會計學系教授


Quality Statement:
This Work is translated into Chinese Traditional from the English language version of Volume 1, 2014 of the ISACA Journal articles by the Taiwan Chapter of the Information Systems Audit and Control Association (ISACA) with the permission of the ISACA. The Taiwan Chapter assumes sole responsibility for the accuracy and faithfulness of the translation.

品質聲明:
ISACA臺灣分會在ISACA總會的授權之下,摘錄ISACA Journal 2014,Volume 1中的文章進行翻譯。譯文的準確度及與原文的差異性則由臺灣分會獨立負責。

Copyright
© 2014 of Information Systems Audit and Control Association (“ISACA”). All rights reserved. No part of this article may be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise), without the prior written authorization of ISACA.

版權聲明:
© 2014 of Information Systems Audit and Control Association (“ISACA”). 版權所有,非經ISACA書面授權,不得以任何形式使用、影印、重製、修改、散布、展示、儲存於檢索系統、或以任何方式(電子、機械、影印、或錄影等方式)發送。

Disclaimer:
The ISACA Journal is published by ISACA. Membership in the association, a voluntary organization serving IT governance professionals, entitles one to receive an annual subscription to the ISACA Journal.

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and/or the IT Governance Institute and their committees, and from opinions endorsed by authors’ employers, or the editors of this Journal. ISACA Journal does not attest to the originality of authors’ content.

Instructors are permitted to photocopy isolated articles for noncommercial classroom use without fee. For other copying, reprint or republication, permission must be obtained in writing from the association. Where necessary, permission is granted by the copyright owners for those registered with the Copyright Clearance Center (CCC), 27 Congress St., Salem, MA 01970, to photocopy articles owned by ISACA, for a flat fee of US $2.50 per article plus 25¢ per page. Send payment to the CCC stating the ISSN (1526-7407), date, volume, and first and last page number of each article. Copying for other than personal use or internal reference, or of articles or columns not owned by the association without express permission of the association or the copyright owner is expressly prohibited.

免責聲明:
ISACA Journal 係由ISACA出版。ISACA 為一服務資訊科技專業人士的自願性組織,其會員則有權獲得每年出版的 ISACA Journal。

ISACA Journal 收錄的文章及刊物僅代表作者與廣告商的意見,其意見可能與ISACA以及資訊科技治理機構與相關委員會之政策和官方聲明相左,也可能與作者的雇主或本刊編輯有所不同。ISACA Journal 則無法保證內容的原創性。

若為非商業用途之課堂教學,則允許教師免費複印單篇文章。若為其他用途之複製,重印或再版,則必須獲得ISACA的書面許可。如有需要,欲複印 ISACA Journal 者需向Copyright Clearance Center(版權批准中心,地址:27 Congress St., Salem, MA 01970) 付費,每篇文章收取2.50 元美金固定費用,每頁收取 0.25 美金。欲複印文章者則需支付CCC 上述費用,並說明ISACA Journal 之ISSN 編碼(1526-7407)、文章之出版日期、卷號、起訖頁碼。除了個人使用或內部參考之外,其他未經ISACA 或版權所有者許可之複製行為則嚴明禁止。

 

Add Comments

Recent Comments

Opinions expressed in the ISACA Journal represent the views of the authors and advertisers. They may differ from policies and official statements of ISACA and from opinions endorsed by authors’ employers or the editors of the Journal. The ISACA Journal does not attest to the originality of authors’ content.