*非駭客型攻擊
12月9日禮拜天晚間8點起,國內訂單量最大購物網站PayEasy.com遭受來自中國大陸的數個特定網址,以來路不明、且以非法手段取得的大量帳號密碼,企圖透過合法登入手段,一筆一筆登入Payeasy會員中心,這種犯案模式堪稱「非駭客型」資料比對攻擊。
歹徒對PayEasy的攻擊行動中,有59%登入帳號並非PayEasy會員所有,有27%登入帳號確有其人但密碼錯誤,另有14%則因帳號密碼均正確,故遭登入成功,研判歹徒此舉的目的在比對手上的帳號密碼,窺探會員訂單明細,下一步可能偽冒PayEasy客服人員,並以訂單明細取信會員,遂行其詐騙企圖。
國內資訊專業人士指出,很多網友為求方便好記,習慣在不同網站使用相同密碼,因為,當歹徒掌握第一批個人資料之後,他們就可以「順藤摸瓜」般拿去測試每個網站,如果您在網路上的帳號密碼都用同一組,則個資外洩的風險會提高好幾倍;對網路業者而言,彼此會員很可能重複,再加上很多會員使用同一組密碼遊走各站,則「一家失火,殃及四鄰」就不足為奇了。
據PayEasy提供刑事局的電腦登入資料顯示,歹徒只比對、未複製客戶資料,每筆登入停留時間從3.8秒到15秒不等,且每筆帳號只登入一次即換下一筆,因登入動作太慢,且停留時間參差不齊,因此程式犯案的可能性不高,換句話說,這並非「駭客入侵」,反而是以人工方式,一筆一筆登入的可能性較高。
*PayEasy的處置
歹徒以合法手段進入PayEasy網站,因此極難察覺,但PayEasy的資管人員仍在隔天9點上班後,主動查覺異狀,接著在在第一時間內採取以下緊急處置行動:
1, 切斷數個來自中國大陸的特定IP
2, 凍結遭歹徒比對成功的PayEasy會員帳號密碼、確保這群會員個資不再外流
3, 同時發送簡訊通知會員提高警覺
4, 在PayEasy網站公告事件緣由、彙整詐騙話術供會員參考、提供會員測試帳號是否安全
5, 向刑事局偵九隊報案
6, 邀集媒體記者配合報導、呼籲網民更改密碼
*保持零詐騙
經由這些斷然處置,截至目前沒有任何PayEasy會員遭詐騙得逞,PayEasy希望繼續保持「零詐騙」。
*全民改密碼
在處理過程中,意識到歹徒手上所掌握的帳號密碼等個人資料數量極為龐大,而且隨著時間的累積,歹徒的「資料拼圖」愈來愈完整,他們仍在找尋下一個作案目標,因此每一個人都可能淪為詐騙集團的騷擾對象,因此PayEasy呼籲網友立即上網更改不重複之全新密碼,阻絕歹徒的資料比對行為;若遇可疑電話,千萬不要配合到ATM轉帳。
