第一波10家券商DDoS攻击勒索名单曝光，2月7日警戒超大流量Tb级攻击

震惊各界的大规模证券商遭骇客DDoS攻击事件，第一波受害名单首次曝光，从开春至今（包括股市封关后的春节假期），已有多达10家证券商遭受到DDoS攻击，包括2月交易金额排名第一和第二的元大和凯基。明天若骇客发动DDoS攻击，以2月开市后平均每日交易金额来看，10家券商合计189亿元交易金额，占股市每天整体交易量568亿元（以2月6日估算）的33％，这些交易量恐受到波及而下滑。金管会资讯服务处处长蔡福隆指出，全台过半股民会利用网络（包括网站和App）下单。若券商下单网站因DDoS攻击而停摆，恐造成交易量的降低。

2月3日时的攻击流量约800Mbps，但骇客扬言不付款将在2月7日发动Tb级的攻击，攻击流量将是第一波试探攻击的1千倍，遭勒索券商也严阵以待，金管会目前已经请NCC、国内三家ISP业者（中华电信、台湾固网、远传）和行政院资安处，严密监控各证券商网络流量状况，并且提供适时的维护，如果发生异常状况就会直接通报证交所。

依攻击先后顺序，骇客第一波试探攻击的受害对象，包括了凯基证券、元大证券、亚东证券、大展证券、富隆证券、永兴证券、元富证券、高桥证券、大众证券，以及今天早上金管会揭露的群益金鼎证券等共10家。骇客大都挑选早上8点和10点之间，锁定券商发动洪水式DDoS攻击。攻击对象也呈现随机，包括交易金额第二、第二的龙头券商，但也有排名末段的小型券商。

从奇虎DDoS监测网站（ddosmon.net），比对台湾79家证券商网站30天内DDoS攻击灾情，可以发现，从1月24日股市封关之后，有10家证券商遭受攻击。最早遭到攻击的是凯基证券，发生在1月27日早上7点59分的春节年假期间，而最新一波遭到攻击的则是今天（2月6日）早上遇袭的大众证券。其中，亚东证券曾在2月1日在7点46分和8点14分先后遭遇DDoS攻击，是目前唯一遭到两次攻击的证券商。

骇客主要是利用NTP攻击这些证券商，少部分还会利用其他服务协定发动攻击，如SNMP、TFTP。亚东证券、元大证券就遭到骇客一次利用这三种方式，发动洪水式的DDoS攻击。攻击时间大多是15分钟，如高桥证券网站管理人员指出，骇客并非连续攻击到网络瘫痪，而是打了15分钟后就会停止一段时间。

不过，不只是发生DDoS攻击事件的券商成为勒索对象，也有券商收到勒索信，但网站未遭攻击。大部分证券商在遭到攻击或是拿到勒索信件后，没有直接向警方报案，而是向证券公会或台湾证券交易所提报，再由这两个单位回报给警方。

因为骇客扬言，若不付款明天（2月7日）将发动Tb级的攻击，除了政府机关、金管会严阵以待之外，不少券商如高桥证券、永兴证券、群益金鼎证券等皆表示，将交给中华电信流量清洗中心来协助阻挡DDoS攻击流量。

中华电信资安处表示，骇客可能在明天（2月7日）发动规模更大的Tb级DDoS攻击，因此中华电信已经提供多家证券业者紧急防护服务，并强化NOC/SOC监控，也对网络边界提高监控防护。而且，中华电信会提供多层次纵深防御，利用阻挡、隔离、清洗来协助可能遭到攻击的证券商缓解DDoS攻击。这套防护机制会涵盖网络层（L3）、传输层（L4）、应用层（L7）的攻击，当证券商遭受DDoS攻击时，会协助证券商调整路由，讯务导入“清洗防护区”，并进行比对攻击样本过滤，拦截异常讯务，放行正常讯务，缓解攻击，并达到服务持续的目的。

台湾史上首次大规模证券商DDoS攻击勒索事件受害名单（股市封面后至2/6期间,资料来源：ddosmon.net）