震驚各界的大規模證券商遭駭客DDoS攻擊事件,第一波受害名單首次曝光,從開春至今(包括股市封關後的春節假期),已有多達10家證券商遭受到DDoS攻擊,包括2月交易金額排名第一和第二的元大和凱基。明天若駭客發動DDoS攻擊,以2月開市後平均每日交易金額來看,10家券商合計189億元交易金額,佔股市每天整體交易量1,564億元(以2月6日估算)的12%,這些交易量恐受到波及而下滑。金管會資訊服務處處長蔡福隆指出,全臺過半股民會利用網路(包括網站和App)下單。若券商下單網站因DDoS攻擊而停擺,恐造成交易量的降低。
2月3日時的攻擊流量約800Mbps,但駭客揚言不付款將在2月7日發動Tb級的攻擊,攻擊流量將是第一波試探攻擊的1千倍,遭勒索券商也嚴陣以待,金管會目前已經請NCC、國內三家ISP業者(中華電信、臺灣固網、遠傳)和行政院資安處,嚴密監控各證券商網路流量狀況,並且提供適時的維護,如果發生異常狀況就會直接通報證交所。
依攻擊先後順序,駭客第一波試探攻擊的受害對象,包括了凱基證券、元大證券、亞東證券、大展證券、富隆證券、永興證券、元富證券、高橋證券、大眾證券,以及今天早上金管會揭露的群益金鼎證券等共10家。駭客大都挑選早上8點和10點之間,鎖定券商發動洪水式DDoS攻擊。攻擊對象也呈現隨機,包括交易金額第二、第二的龍頭券商,但也有排名末段的小型券商。
從奇虎DDoS監測網站(ddosmon.net),比對臺灣79家證券商網站30天內DDoS攻擊災情,可以發現,從1月24日股市封關之後,有10家證券商遭受攻擊。最早遭到攻擊的是凱基證券,發生在1月27日早上7點59分的春節年假期間,而最新一波遭到攻擊的則是今天(2月6日)早上遇襲的大眾證券。其中,亞東證券曾在2月1日在7點46分和8點14分先後遭遇DDoS攻擊,是目前唯一遭到兩次攻擊的證券商。
駭客主要是利用NTP攻擊這些證券商,少部分還會利用其他服務協定發動攻擊,如SNMP、TFTP。亞東證券、元大證券就遭到駭客一次利用這三種方式,發動洪水式的DDoS攻擊。攻擊時間大多是15分鐘,如高橋證券網站管理人員指出,駭客並非連續攻擊到網路癱瘓,而是打了15分鐘後就會停止一段時間。
不過,不只是發生DDoS攻擊事件的券商成為勒索對象,也有券商收到勒索信,但網站未遭攻擊。大部分證券商在遭到攻擊或是拿到勒索信件後,沒有直接向警方報案,而是向證券公會或臺灣證券交易所提報,再由這兩個單位回報給警方。
因為駭客揚言,若不付款明天(2月7日)將發動Tb級的攻擊,除了政府機關、金管會嚴陣以待之外,不少券商如高橋證券、永興證券、群益金鼎證券等皆表示,將交給中華電信流量清洗中心來協助阻擋DDoS攻擊流量。
中華電信資安處表示,駭客可能在明天(2月7日)發動規模更大的Tb級DDoS攻擊,因此中華電信已經提供多家證券業者緊急防護服務,並強化NOC/SOC監控,也對網路邊界提高監控防護。而且,中華電信會提供多層次縱深防禦,利用阻擋、隔離、清洗來協助可能遭到攻擊的證券商緩解DDoS攻擊。這套防護機制會涵蓋網路層(L3)、傳輸層(L4)、應用層(L7)的攻擊,當證券商遭受DDoS攻擊時,會協助證券商調整路由,訊務導入「清洗防護區」,並進行比對攻擊樣本過濾,攔截異常訊務,放行正常訊務,緩解攻擊,並達到服務持續的目的。
臺灣史上首次大規模證券商DDoS攻擊勒索事件受害名單(股市封面後至2/6期間,資料來源:ddosmon.net)
受害券商 | 比對網址 | DDoS攻擊時間 | 攻擊類別 |
凱基證券 | 1/27 7:59:21 | amp_flood_target-NTP | |
元大證券 | 2/1 8:30:25 | amp_flood_target-SNMP | |
亞東證券 | 2/1 07:46:11和08:14:39 | amp_flood_target-TFTP amp_flood_target-NTP | |
大展證券 | 2/2 9:15:49 | amp_flood_target-NTP | |
富隆證券 | 2/2 10:14:32 | amp_flood_target-NTP | |
永興證券 | 2/3 9:11:28 | amp_flood_target-NTP | |
元富證券 | 2/3 10:09:35 | amp_flood_target-NTP | |
高橋證券 | 2/3 8:19:28 | amp_flood_target-NTP | |
大眾綜合證券 | 2/6 10:14:18 | amp_flood_target-NTP | |
群益金鼎 | 金管會證實2/6早上遭攻擊 | 未揭露 |