為全球博彩業而言,網絡安全從未像現在這般重要。美國賭場巨擘美高梅及凱撒娛樂近期先後遭受的網絡攻擊事件引發全球矚目。新加坡濱海灣金沙和行業領先供應商Aristocrat也曾在去年成為攻擊目標,而菲律賓的岡田馬尼拉則在11月遭遇了神秘的「技術問題」事件。在本期深度專題文章中,亞博匯採訪多個網絡安全專家,深入了解當代網絡攻擊的現狀、博彩業何以成為攻擊目標及公司需要採取何種措施才能保障安全。
如果您曾經感覺自己生活在魚缸裡被人窺視,或者可以共情這樣一位北美的不幸的賭場老闆。資安防禦機構Darktrace曾詳細記錄一件著名的網絡入侵事件,這起事件之所以成為頭條新聞,是因為該賭場受到的黑客攻擊並非透過其IT系統,而是通過魚缸被入侵。
黑客們利用高科技裝置,通過魚缸的自動餵食和恆溫監控功能將其連上互聯網,從而利用魚缸滲透到更廣泛的網絡系統中。在這次安全漏洞被發現之前,黑客已經成功下載了10GB的數據到位於芬蘭的伺服器上。
但如果說那次事件對整個產業而言是個警告,那麼這個警告似乎並沒有引起重視。
有關去年9月美高梅國際酒店北美地區的多個系統受到重大網絡事件影響的細節浮出水面。最初有報道稱這起事件導致美高梅的賭場內數千台角子機陷入癱瘓,但隨後被發現,自動取款機、電子支付系統、酒店預訂系統甚至酒店電子鑰匙卡等都無法使用。若非是黑客直接行動的結果,就是美高梅主動關閉了系統以防範進一步的入侵。
美高梅並非個例。凱撒娛樂隨即透露,其也在幾周前遭受到過網路攻擊。之後有報道稱凱撒支付了1,500萬美元的贖金以避免數據洩露,不過有分析師對此表示懷疑,而該消息亦未曾得到該公司證實。
美高梅在一份文件中表示,這件事件將導致其EBITDAR損失約1億美元。
如果說此前全球各地的博彩營運商尚未給予足夠重視,那麼他們現在一定已經予以重視,因為越來越多的證據表明,該行業已成為國際網路犯罪集團的主要目標。
IT安全與合規公司Bulletproof(Gaming Labs International的子公司)的副總裁Gus Fritschie評論道:「攻擊者發現,賭場公司並不總是我們在電影中看到的那樣堅不可摧。」
「在看見賭場中的所有實體安全措施時,人們會認為邏輯電腦控制同樣強大。然而,大眾看不到的是許多行業備受困擾的問題:過時的系統和軟件、薄弱的政策和程序,以及缺乏高階主管對信息安全方面的支持。這導致網路存在可能被網路犯罪分子利用的漏洞和弱點。」
香港上市的IT設備及解決方案的博維智慧科技有限公司主席兼行政總裁周家俊表示,博彩公司成為攻擊目標的原因有很多,譬如它們處理著包括個人信息和財務數據在內的有價值的數據。
「這些數據可以在黑市上變現,用於身份盜竊或用於有針對性的網路釣魚攻擊。」周家俊解釋道,「網路犯罪分子將這些機構視為數據豐富的環境,因而其成為對其據引誘力的目標。」
「此外,博彩業產生頗為可觀的收入,賭場內部持有大量現金。網絡犯罪分子可能會試圖入侵博彩遊戲系統以操縱結果,或利用諸如竊取客人的信用卡資訊或篡改電子支付系統等財務交易漏洞。」
「近期來說,網絡犯罪者還會為了吸引媒體或公眾的注意力而實施犯罪行為,目的是尋找潛在提供黑客服務的對象從而名利雙收。這些都令賭場成為對網絡犯罪分子而言頗具吸引力的目標。」
據悉去年對美高梅國際酒店集團的攻擊事件由知名的黑客組織Scattered Spider及ALPHV所為,他們利用社會工程滲透了該公司的防禦系統。根據這些組織在隨後幾周內披露的細節,Scattered Spider使用了冒名及語音釣魚計劃來獲取美高梅系統的訪問權限:他們首先通過LinkedIn找一名美高梅員工,然後冒充該名員工致電美高梅IT部門聲稱在登錄賬戶時遇到問題。
黑客通過10分鐘的電話通話獲取了美高梅Okta及Azure系統的管理權限,隔日當美高梅發現服務器上存在異常活動後,ALPHV在網路中部署了勒索軟體。
酒店技術供應商石基國際首席執行官Kevin King表示,「社交工程」(通過釣魚郵件、電話詐騙或冒充等手段操縱個人泄露敏感信息或執行可能危及安全的行為)在黑客團體中日漸流行,尤其是隨著生成式AI的進步。
「可以預見,網絡釣魚和社交工程攻擊將變得更加複雜,針對個體受害者進行客製化並且自動化。」King表示,「這種演變可能會使這些攻擊能夠以更大規模地進行。試想一下,接到一個像家裡人的電話,用的是他們的聲音,熟悉你的個人信息,要求你緊急轉賬。」
「這種情況已經是可行的,不難想像這種方式未來會變得自動化。物聯網攻擊與許多行業相關,酒店和賭場只是其中兩個。」
現實當中,黑客組織手中尚有幾十種武器,惡意軟件、零時差漏洞、內部威脅和供應鏈攻擊等都可用於滲透網路,具體則取決於被識別的漏洞位置。
Palo Alto Networks香港及大灣區總經理Wickie Fung表示:「每天都有新的威脅方式被開發及發起,威脅行為者的策略也在不斷演進。」
「為了了解網路威脅的規模,我們的團隊每天偵測到150萬個獨特威脅並阻止另外86億次已知攻擊。不幸的是,壞人同樣可以使用先進技術,包括AI、機器學習、大數據分析和自動化攻擊等。」
「隨著AI工具在暗網上可以以越來越低的價格獲得,以及勒索軟件即服務模式的出現,黑客的入行門檻降低了,這可能導致此類攻擊的增加。」
King還指出,網絡犯罪分子通常分階段執行攻擊,首先滲透公司的系統建立持續性,然後透過企業內部的其他互聯系統進行攻擊。
博維子公司澳門博維資訊系統有限公司助理總監Nelson Lei解釋道:「如果黑客成功攻破一個系統,他們就可能會轉而橫向移動,入侵其他互聯系統,從而帶來連串破壞。」
「(這就是為何受害者)可能會主動關閉系統或服務,作為預防措施,以限制網路安全事件造成的潛在損害或遏制其負面影響。」
正是這種應用程式的互聯性最終迫使美高梅於去年攻擊事件中關閉多個涉及整個物業的系統。
亞洲在這方面也面臨著挑戰。去年11月,菲律賓綜合度假村岡田馬尼拉曾關閉絕大多數角子機達一周之久。該酒店並未披露是否是網路攻擊造成,其當時向本刊表示是因為「信息技術系統」遇到了「技術問題」,但正如近期發生的其他事件一樣,這些問題也滲透至整個度假村內的其他各種操作系統。
新加坡濱海灣金沙集團更於去年11月披露亦遇到數據安全事件,有未知第三方訪問了約665,000名「金沙尊賞時尚」會員獎勵計劃下的會員數據。儘管其表示,未發現有證據顯示未經授權的第三方濫用資料或對客戶造成傷害,但補充稱,公司在「知悉問題後,馬上與第三方網絡安全公司合作,採取行動進一步加強系統和資料的安全保護」。
行業供應商亦未能倖免,澳洲角子機巨擘Aristocrat也在去年遭受到一次網路攻擊,員工個人資料被盜取甚至被部分公開。Aristocrat於8月透露,這次共計是黑客利用了公司使用的第三方檔案共享軟體MOVEit中的漏洞。
此前幾週Aristocrat在悉尼北部的一家俱樂部開展的無現金博彩技術試驗,也因此次網路攻擊導致部分參與者資料洩露而被終止。
隨後顯示,Aristocrat只是透過MOVEit軟件被滲透的650多個組織之一,這款軟件被網絡勒索團夥Clop利用零時差漏洞進行攻擊。Clop最初聲稱如果這些組織不就贖金支付進行談判,它將開始公佈這些組織的數據,但目前尚不清楚這一威脅的後果。
不過,這也引出了一個問題:遭到入侵的公司應該如何應對勒索要求,以及即使專家建議不要這樣做時,甚麼原因促使他們首先支付贖金。
根據2023年11月由McGrathNicol委託、市場研究公司YouGov進行的一項研究,過去五年中遭受網路攻擊的澳洲企業中有73%選擇支付贖金,而在沒有受到攻擊的受訪企業中,有70%的企業表示願意支付贖金。
在支付贖金的企業中,37%在24小時內支付,74%在48小時內支付。
McGrathNicol Advisory Cyber公司合夥人McGrathNicol在發佈結果時表示:「絕大多數企業仍在支付贖金,而且支付速度很快,以避免客戶、合作夥伴和持份人的負面反應。這已經被視為經商成本。」
「研究表明,高管們在向當局報告這些攻擊時態度不再那麼強硬。但是如果缺乏更大範圍的合作及信息共享,預防勒索軟體攻擊的能力就會受到削弱。這些信息本可以幫助企業領袖們做出更加明智的決定,而非急於支付昂貴的、可能是非法的贖金。」
Palo Alto Networks公司旗下信息部門Unit 42的另一份報告顯示,2022年全球勒索軟件的要求範圍從3,000美元至5,000萬美元不等,而實際支付的金額高達700萬美元。
Palo Alto的Fung建議:「我們鼓勵組織在支付贖金之前考慮選項。建議將重點放在預防措施、強大的備份和事件響應能力上,從而盡量減少勒索軟體攻擊的影響。」
此外,King指出,黑客使用的策略是鼓勵那些擔心遭受進一步攻擊的公司為支付贖金而特別設置的,而一個組織支付大筆資金的能力也可能使其首先成為更具吸引力的目標。
他表示:「犯罪分子經常採用雙重勒索策略,不僅要求支付解密數據的費用,還要求不得在網上發布數據。這種策略增加了付款的可能性,因為擁有能夠恢復加密數據的備份公司,仍然有動力為防止資料外洩而付費。」
「贖金金額差異很大,從數千美元到數百萬美元不等。通常,所要求的金額與受害者的收入相關——更高的收入往往意味著更高的贖金。在某些情況下,勒索軟件組織會根據受害者的網絡保險範圍提出要求,並設定與該範圍相匹配的贖金金額。」
「報告顯示,勒索軟體支付的中位數約為35萬美元。此外,超過30%的勒索軟體受害者曾遭受重複攻擊。這種情況的再次發生,可能是由於多個勒索軟體團夥針對相同的受害者,並利用相同的漏洞。」
雖然勒索軟體集團幾乎可以在地球上的任何地方運作,但King指出,在那些受到網路犯罪法律不完善、國際執法合作不足及經濟狀況等因素影響的國家中更為普遍。東歐,特別是俄羅斯及其鄰國,都是熱點地區,各個團體經常合作從事開發惡意軟體、洗錢、交易盜用憑證等活動。
也因此Chao堅持認為,為賭場營運商而言,確保他們擁有強大、全面的賭場保安系統,可提供多層保護以確保營運、資產和客戶信息安全完整,比以往任何時候都更為重要。
「這包括實體安全、網絡安全、數據保護、監視和監控、欺詐檢測和預防、存取管控、安全意識培訓、事件相應及復原,以及監管事務和合規性。」他表示,「當然,專業且經驗豐富的合作夥伴也非常重要。」
「不同的組織有不同的文化背景和基礎設施,因此它凸顯了制定明確的事件相應手冊的重要性。該手冊概述相應和減輕網路安全事件影響所需要的步驟、角色和責任,是積極的指導。」
「擁有事件響應手冊能使組織快速有效地採取行動,事件響應團隊可以快速啟動並遵循預定程序,最大限度地縮短響應時間,並更有效地遏制和緩解事件。」
Fung補充說:「網路安全是一個業務問題,而不是IT問題。執行必須從最高層級向組織中的每個人傳遞。」
「這一切都始於要擁有正確的心態。雖然IR主管可能不是IT專家,但他們應該對網路安全原則和最佳實踐有基本的了解。將網路安全作為戰略業務風險優先考慮,並與IT和安全團隊密切合作,這一點非常重要。」
「定期更新有關新出現威脅的認知、促進員工意識培訓,並確保實施一流的安全控制措施是關鍵職責。」
Bulletproof的Fritschie還稱,重點也在行業供應商上,並指他們需要「確保其產品,無論實體或是線上,都盡可能的強大和安全」。
Fritschie引用2014年的一個案例,當時一個俄羅斯團伙針對一家行業領先的供應商製造的角子機的弱點來操縱賠率。
「要如何防止這種情況發生?應透過有意將安全意識整合至軟體開發生命週期中。」他補充道,「我們看到越來越多的供應商承擔起預先執行安全測試的責任,超出了監管要求。他們已採取措施加強自己的內部安全團隊。」
歸根結底,賭場和其他遊戲公司本質上成為網絡犯罪的目標,是因為它們利潤豐厚的環境,擁有大量數據,任何數據洩露都可能嚴重影響其業務。因此,博彩行業似乎仍將留在犯罪分子的矛頭下,加強安全防禦比以往任何時候都更加重要。
「一個令人不快的事實是,沒有一家公司能夠100%安全。」Fritschie說。
「我們在博彩領域想要做的是,提高標準並實施更嚴格的控制和測試要求,以推動安全性向前發展。就像入室盜竊一樣,如果房子有有效的警報、良好的照明、攝影機和上鎖的門,小偷就更有可能轉向更容易的下手目標,這同樣適用於這個領域。」
「我們必須提高門檻,讓攻擊者轉向另一個垂直領域、公司或完全不同的行業。你不想拿安全這件事來開玩笑,還是將冒險留給賭枱吧。」