航空公司和机场已成网络攻击者热门目标,或求财,或盗身份,或进行网络间谍活动,动机五花八门。对机场和航空公司的网络攻击往往与乘客安全无关,但这不是忽视这些攻击的理由。
最近国泰航空、英国航空公司和加拿大航空所遭网络攻击反映出了航空业被网络罪犯盯上的趋势。加拿大航空在2018年8月底发出警报,敬告用户某手机App数据泄露影响2万客户。英国航空公司在9月承认遭遇网络攻击,影响38万乘客;1个月之后,该公司遭遇二次攻击,再追加18.5万受害者。万圣节前几天,国泰航空披露重大数据泄露事件,940万人数据被泄——航空业迄今为止影响人数最多的数据泄露事件。
对想靠敏感数据掘金的攻击者来说,航空业堪比金矿。
火眼首席情报策略师 Christopher Porter 称:
民族国家很久以前就开始攻击航空业收集乘客数据了,但网络罪犯对航空业的攻击出现了增长。
因为航空业高收益且时间敏感,罪犯意识到自己可以可以从客户处抽取支付数据,利用信用卡信息进行欺诈或者用勒索软件敲诈航空公司。最近两年里,火眼观测到利用勒索软件短时禁用票务系统和支持服务的案例在增加。
在2019威胁报告中,火眼研究人员指出,航空业将是来年的一大主要网络攻击目标。除了网络间谍,航空公司还面临第三方售票者在暗网售卖非法机票,以及盗取公司存储的有价值数据的威胁。
比如说,护照。这是航空公司拥有而其他行业机构基本没有的一类信息。虽然护照信息对国家级黑客更有价值,但进行网络钓鱼攻击和身份盗窃的诈骗者也很有用。如果能收集到大量护照信息,这些信息本身就能在暗网直接卖个好价钱。
目前还没有足够的公开数据来确定护照是不是航空业网络攻击的目标,但只要成功攻入航空公司系统,黑客绝对不会放过护照数据。这是除用户姓名、住址、电子邮件地址、支付卡号、电话号码和其他个人数据之外,航空公司持有的多类信息中的一种。当然,支付信息对金融盗窃最有用,但所有其他信息都可以用于身份欺诈。
现代人经常乘飞机出行,攻击航空公司能一下子收获大量个人信息。过去我们惯于看到针对个人的攻击,但只要能攻击一个目标就收获所有数据,何乐而不为?从罪犯的视角看,航空公司根本就是个战略性目标。
怎么突破
入侵提供商盗取支付卡数据的黑客可能访问不到所需的全部信息(比如说,信用卡安全码(CVV)),因为提供商不存储这些信息。但是,可以靠放在网站上的脚本代码来捕获。
很多航空公司,包括英国航空公司和国泰航空,其处理在线支付的处理器中都被注入了恶意脚本。这一攻击方法对攻击者来说很有用,却给遭攻击的公司企业带来了修复上的麻烦。
另一个常见的攻击途径是航空供应链。
公司过程中涉及的第三方供应商越多,安全问题出现的概率越高。机场的供应商本来就很多,其运营还需要与政府、信用卡公司、行李装卸工、维护人员和大量其他支持公司持续交换数据。
这些都是网络罪犯的潜在入口点,是很好的目标。供应链就是航空公司在做企业风险规划时没考虑到,但现在最应该重视的“隐藏风险”。
如果航空公司使用第三方开发的过程,比如说支付过程,那航空公司的安全就交到了第三方的手里,给了攻击者一点进攻优势。攻击者很清楚如何在两家公司间的间隙悄悄滑入。
如果没有特别好的原因需要使用第三方脚本,最好别用。就像很多高科技系统那样,设备越简单,故障率越低。
系好安全带:航空业安全挑战与建议
面对网络攻击增加的趋势,航空公司和机场最好确保自身资产受到良好防护,并执行高品质的渗透测试,尤其是对面向Web的系统,这些系统是最容易遭到黑客反复攻击的。另外,还可以对供应链实现第三方审计,并关联不同地理区域的数据以检测威胁模式。
比如说,在新泽西、香港和克罗地亚的分公司都发现了相同的异常,那如果没有关联起来,就明显会错过可能预示着数据泄露的指标。
另外,最好自行开发脚本以保持对安全拥有更多控制。对于依赖第三方提供商的公司,强烈建议以审查自身代码相同的严格标准来评估外部代码,进行良好且深入的测试。
要确保涉及所有过程,并保证个人信息处理是坚实有效的。
控制:谁负责网络
美国的有些机场是私有的,或者多个市政府共有,或者有不同的利益相关者,这就产生了一个问题:谁来负责信息安全?
这一点上,每个人的答案都不一样。
机场和航空公司信息安全改善空间很大,可以通过联合利益相关者执行安全演练来提升机场安全态势。比如,设计一个中断机场运营或干扰航班飞行的网络威胁场景。航空业必须确定响应中每个元素的负责人,不能等到事件发生时才现找。
美国国会和行政部门越来越关注航空业网络攻击的潜在致命风险。为证明航空旅行是安全的,航空公司及其合作伙伴必须反复检查自身安全状态。某些机场,以及美国国土安全部(DHS),已经开始着手这项工作。
网络犯罪能弄下一架飞机吗?不太可能
数据泄露通常会损及公众形象,航空业数据泄露则常常导致乘客对其飞行过程中人身安全的担忧。专家认为没必要杞人忧天——大多数针对航空业的攻击影响的系统与飞行安全没有直接联系。不过,这些攻击仍需引起重视。
网络攻击虽然不太可能远程搞下一架飞机,但像勒索软件这样的攻击却可以中断航班运营:不会影响到乘客人身安全,但会影响飞行员起飞的能力——如果他们访问不到航班表的话。
2017年DHS的一项研究表明,黑掉一架飞机至少在技术上是可行的。掌握最尖端技术的黑客团队有可能做到。我们总得为最坏情况做好打算。
安全研究人员已经证明了这一技术可能性。今年早些时候,IO/Active首席安全顾问 Ruben Santamarta 在黑帽大会上演示了如何从地面上黑进飞行中的飞机及其机载卫星通信设备。设备漏洞包括后门、不安全的协议和网络配置错误,能影响主要航空公司的数百架商务飞机。
不过,对公众和决策者来说,最大的威胁影响的是他们的数据而不是飞机的安全。网络间谍才是航空业安全最大最常见的威胁。
2019火眼威胁报告地址:
相关阅读
