小心！駭客，真的，就在你身邊

不要以為自己只是 nobody；只要你有一點點利用價值，就一定會是駭客的攻擊目標。

最近有幾則國內機構被駭的新聞，不知道有沒有引起你的注意：

• 中山大學的 Email 系統，早在多年前就被攻破；不明身分的駭客，以假冒的 Email 帳號，長期監控中山大學多位政治系教授的 Email 來往：

• 台大的教務系統遭學生「駭入」，將期中考的成績都改掉了。好在這個還有查到始作俑者。

• 前幾個月，有多家醫療院所疑似中了「勒贖攻擊」，所有電腦系統和資料都會被鎖死，如果不繳付贖金，就無法使用。衛福部雖然發了新聞稿說沒事，但 iThome 的調查報告，證實了案情沒這麼單純：

不只國內的大專院校、公司行號、醫療院所和政府單位經常被駭，國外更是天天都有各種駭侵案例：

• 日本首屈一指的媒體集團「日經媒體」，其紐約分公司的員工依照假冒主管寄出的 Email 指示，匯了 32 億日元到香港的某個銀行帳戶：

• 國外許多大小城市最近經常遭到「勒贖軟體」攻擊。歹徒透過各種手段，將勒贖軟體植入政府的電腦系統中，然後把龐大的市政相關資料全部加密，不給錢就不解鎖，造成這些城市嚴重停擺；包括美國大城巴爾的摩、南非最大城市約翰尼斯堡等都曾遭駭，甚至光是德州就有 22 個小城鎮中鏢。

• 企業更是各種駭侵團體的最愛。一方面企業有錢，另一方面更有許多有價值的用戶資料，可以進一步加以利用；然後很多企業根本就缺乏資安意識，更缺少合格的資安人員與技術，以致於讓大量重要資料在外裸奔：

駭客天天駭，你卻不知情

這裡只是列出冰山一角而已；各位如果想看更多駭侵消息，像是 iThome 的資安新聞、台灣電腦網路危機處理暨協調中心的新聞公告區，每天都會有讓你看不完、看過後嘴巴合不起來的各式駭侵攻擊新聞。

然而這麼多駭侵新聞，嚴重損害大眾權益和國家安全，卻幾乎沒有幾則能上得了台灣的新聞版面；難怪大家總以為駭客遠在天邊，這些駭侵事件和自己沒什麼關係。

而駭客最喜歡的，就是像我們這樣，一點資安意識都沒有的待宰肥羊。

駭客是誰？他們到底要什麼？

一般我們對駭客的刻板印象，大概就是像電影《駭客任務》裡的安德森先生那樣，一個整天關在房間裡的阿宅，身懷絕世電腦技藝，能輕鬆從銀行帳戶中弄點錢來花。

這種駭客當然還是有，但並不是今日各種駭侵攻擊的主力。

現在的駭侵攻擊多半是組織化的，叫做「駭侵團體」，透過團隊力量和複雜先進的技術，針對特定或不特定目標，進行各種難以查覺的駭侵攻擊。

這些駭客到底想要什麼？無非還是錢與權，或是能進一步發動更大規模攻擊的資源。

要錢，還是小事

錢當然是多數駭客想要的東西，在各種駭侵事件中，針對金融機構、企業組織或政府機構的小型攻擊，很多的目標是為了錢。例如上面舉過的企業郵件詐騙、針對政府的勒贖攻擊等等。

還有一種典型的詐騙取財攻擊手法，就和每個人都有關了。

這些年來，有許多針對手機的惡意攻擊，有些透過網頁中的惡意程式碼，有些是塞有惡意軟體的 App；當用戶逛到這些網頁、下載這些 App，你的手機就可能被塞入惡意軟體，在你不知不覺之間，在背景進行大量廣告詐騙點擊，或是偷偷幫你訂閱多種高價訂閱服務，大賺平台的拆帳分潤。

等你發現信用卡莫名其妙被扣了一大筆錢，已經來不及了：

也有駭客不直接騙錢，卻在你的電腦或手機中植入加密貨幣挖礦程式，讓你的設備無時無刻幫他賺錢，你只會看到手機用電暴增，甚至因為過度使用提早報銷，卻完全不知道發生什麼事：

話說回來，要錢的駭客，跟下面幾種比起來，還算是安全的；接下來這些駭客雖然不要錢，但他們想要的東西和野心，卻更加可怕。

取得資源，以便布署後續的攻擊行動

不直接要錢的駭客，會想要什麼？可以持續發動下一波更大規模攻擊的資源，通常會是這類駭侵行動的目的。

這樣的資源通常有兩類：

• 滲透到關鍵目標的電腦系統中，以便在關鍵時刻發動攻擊。舉例來說，有很多電腦或手機被駭之後，會變成所謂「僵屍網路」的一分子；當駭客一聲令下，這些中鏢的電腦和手機，就會在同一時間，針對特定目標發動 DDoS「分散式阻斷攻擊」；被攻擊的目標會因為大量同時連線要求而陷入癱瘓。

• 取得大量資料，做為未來潛在的攻擊目標，或轉售牟利：這類駭侵攻擊的目標，是企圖取得含有大量「機敏資訊」（機密、敏感）。有了這些資料，就等於掌握了一大票名單，不但可以按名單進行後續攻擊，這些資訊甚至還可以拿去賣。

權力：國家間的暗黑對抗

駭侵攻擊不只是為了騙錢或取得資料，還能用來進行國家與國家間枱面下的無形戰爭。許多國家利用這些駭客團體組成真正的「網軍」，透過網路進行各種情報戰，包括機密資料的竊取、監控重要人物、破壞關鍵設施，甚至連結到真正的政治軍事行動。

在全球多個駭侵團體中，有不少組織長期進行各類駭侵活動；這類組織有個專有名詞，叫做「APT」，意指「進階持續性威脅」（Advanced Persistent Threat）。資安界已經辨識出幾十個這樣的組織，分布在全世界：

不少 APT 駭侵團體，背後都有國家的力量支持，幫這些國家進行情報搜集、資料竊取、監聽、散布惡意軟體，甚至直接造成破壞。被資安界點名利用 APT 進行國家級駭侵的幕後黑手，包括美國、中國、越南、伊朗、俄羅斯、以色列、北韓、烏茲別克、沙烏地阿拉伯等。

以下就是幾個疑似 APT 駭侵團體發動的「國家級」駭侵攻擊案例：

• 由中國在背後支持的 APT40，針對一帶一路相關國家的研究機構、國防工業、政府與軍事單位進行攻擊，意圖取得和海軍科技相關的機密資料：

• 俄羅斯透過 APT 組織大規模駭入企業內部的物連網裝置，當做攻擊跳板，或是進一步駭入更重要的系統主機，以取得機密資料：

• 著名的加密傳輸通訊軟體 Telegram，在六月時遭到來自中國的大規模 DDoS 分散式服務阻斷攻擊；幾乎所有的攻擊者 IP 都來自中國，Telegram 懷疑這是因為香港反送中示威者為逃避監控，大量使用 Telegram 進行通訊，因而遭到中國攻擊反制。

正規的網路軍隊攻擊

當然，除了枱面下的駭侵外，也有不少國家正式成立網路作戰單位，將駭侵手段做為正規軍事行動的一環。

例如美國在國防部轄下成立了「網路作戰司令部」（US Cyber Command），在八月時成功執行了一起針對伊朗的網路秘密軍事攻擊行動，摧毀了伊朗革命衛隊所屬的網路資料庫；一方面報復先前美軍無人機遭擊落的攻擊行動，另一方面也防止航行於波斯灣的各國油輪再次遭到伊朗攻擊。

另外，美國網路作戰司令部也曾在六月時駭入伊朗的飛彈射控系統，使之無法用來進行攻擊行動，同時保護布署在荷姆茲海峽美軍艦艇及人員的安全：

世界各國遲早都會建立正規的網軍作戰部隊，透過網路進行各式新型態的軍事行動。這也算是以國家力量進行的駭侵行為。

沒有人能例外，除非你懂自保

經常聽到很多人有這樣的論調：反正我又不是什麼重要人物，沒有人會想要我的資料，所以什麼駭客啦、資安啦，都是天高皇帝遠，不關我的事。

這種想法當然大錯特錯。相信看完上面的一大堆例子，各位應該就會明白，不是只有重要人物或重要單位才會成為駭侵目標；針對一般人的駭侵事件也愈來愈多，造成的直接或間接損失，往往也超乎你我想像。

希望這篇文章能先讓各位有所警覺，認清沒有人能自外於駭侵攻擊的現實，不要天真的以為資安和駭侵和自己無關。事實上，你的手機和電腦，很可能天天都被攻擊，甚至早就被駭客挾持或植入惡意軟體，只是你不知道而已。

那麼，一般人應該如何自保，才能避免遭駭，害人又害己？這個又得再寫一大篇來談，請期待下一篇文章。

（結果因為文章太長，又拆成兩篇，由此去：）