在現今高度發展電子商務的網路世界中,多數電腦3C產品用戶可能都是遭到駭客攻擊過的受害者,舉凡社交平台帳號被盜、網銀支付異常、網路病毒勒索等,都是駭客從世界另一端發動攻擊,駭客會用惡意程式來感染遠端電腦,或者利用釣魚手法來騙取點擊,藉此取得個人資料等等,受害者甚或當地執法機關都可能因為無法及時反應,而遭受損失。
所謂惡意程式泛指所有具破壞行為的程式碼包括電腦病毒(Virus)、木馬及後門程式(Trojan and Backdoor)、間諜及廣告程式(Spyware and Adware)、網路蠕蟲(Worm)等,其中木馬及後門程式通常隱藏在電腦程式或者系統當中,電腦設備的使用者並不容易察覺,駭客入侵的目的可能為名、為利、為報復或只是想練手,而駭客通常依:尋找攻擊對象、植入木馬伺服程式、使用木馬管理程式遙控被害人電腦、偷取帳號密碼等重要資訊、利用被害人帳號密碼展開對另一被害人的攻擊等步驟來進行遠端攻擊,其中另APT(Advanced Persistent Threat)進階持續性滲透攻擊,則為另一種攻擊趨勢,駭客會透過長期網路攻擊活動來達到目標,針對特定攻擊對象設計專屬攻擊策略,計畫之周期如下:⑴利用社交工程,例如釣魚網站或電子郵件來做為入侵的媒介以達成初步的入侵;⑵植入Rootkit等惡意程式以掌握使用者系統,建立立足點;⑶利用破解密碼、零時差攻擊、緩衝區溢位等方式取得該電腦管理者權限;⑷找尋該主機附近的其他主機或伺服器,並伺機取得其內部資料庫儲存之機密資料以遂行內部偵查與平行擴散;⑸持續掌控資料庫伺服器或是主機,並將資料匯出達到竊取機密的目的,換言之,APT攻擊須始於駭客利用社交工程之初始入侵(如網站、檔案及電子郵件之惡意軟體),進而在受害者網路中植入遠程訪問工具,打開網絡後門,再利用漏洞及破解密碼,獲取受害者電腦之管理員特權,平行擴散至其他電腦及設施,透過長時間之潛伏偵測,最後盜取駭客所需之資訊,由前述種種手段可得知,駭客入侵的手法日新月異,民眾幾乎防不勝防。
電腦、平板、手機等3C產品已成為日常生活重要工具,民眾對電腦等3C產品的依賴與日俱增,若電腦遭無故入侵或電腦中之重要資訊遭到取得、刪除或變更等將導致使用人發生重大損害,我國早於西元2003年就於<中華民國刑法>中增訂妨害電腦使用罪章,其中包括須為告訴乃論的第358條無故入侵電腦罪,即「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金」、第359條無故取得、刪除、變更電磁紀錄罪,即「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金」、第360條無故干擾電腦罪,即「無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金」,以及非告訴乃論之第362條無故製作與使用有害程式罪,即「製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金」,藉以保障公眾與個人使用資訊設備之安全。
由於網路世界的匿名性,要完整查到駭客的真實犯罪訊息,檢調單位必須耗時耗力,雖然我國已有前述刑事法規來規範網路駭客之罪責,但為了避免電腦遭到駭客以惡意程式攻擊,還是要從自身的防毒意識、網路管理及良好的電腦使用習慣做起,例如個人電腦使用者應安裝有信譽的合法防毒軟體、定期更新作業系統及掃毒、避免連結不明網址、避免隨意開啟奇怪的電子郵件及其附件或連結、避免安裝不明來源的程式、安裝程式前應預作掃描、個人帳號密碼應具備一定強度等等,而機關行號的電腦使用者,則應定期進行電腦掃毒、偵測惡意電子郵件、建置APT防護機制、留意惡意程式會使用的特定連線字串、訂立連線規則或者適當限制受駭電腦的對外連線、定期更換管理者的密碼以避免遭駭客破解,甚至可以舉辦電腦資安講習來增加資訊安全觀念等,都可適度減少電腦遭駭客入侵的可能性。
* 台一國際法律事務所主任
