網絡中釣大魚

大家一直都很在意網絡安全，因為每天生活都會接觸。手機儲存的個人資料越來越多，而各大公司收集的個人資料也不少。然而，總有公司對IT部門不太重視，到出事時才發現，那時已經太遲。記得去年（2023年）數碼港在8月受黑客攻擊，共有超過13,000名資料當事人的個人資料外洩，當中約四成受影響人士為求職者及已離職僱員［註1］。諷刺的是，那時數碼港剛與警務署合作，發現8成機構或企業有網絡漏洞［註2］。不知這8成，有否包括數碼港公司。

與網絡安全的書的確不少，除了曾介紹的《零時差攻擊》外，最近也閱畢一本類似的書籍，名叫《奇幻熊在網路釣魚》，作者史考特·夏皮羅。網路釣魚相信大家知道是phishing，但「奇幻熊」為何跟網絡安全有關？因為奇幻熊（Fancy Bear）是一個俄羅斯網絡間諜組織，對不少國會發動網絡攻擊［註3］，他們的得意之作，要數以電郵來影響美國2016年總統大選。

作者在書中有分析奇幻熊如何成功竊取大量資料，但這只是其中一個案例。作者先從最早的案例，開始講述什麼「東西」會影響網絡安全。第一個是電腦蠕蟲。電腦蠕蟲是一種能自我複製的程式，當電腦中了蠕蟲，它能影響電腦的效能。原來，當年曾有一個人，將一條蠕蟲放到網絡上，看它的影響力。這人叫莫里斯，他和他的朋友視此為「天才計劃」（Billiant Project)［註4］。當莫里斯在康乃爾大學，以遠端登入麻省理工學院的電腦，將蠕蟲放入網路，網路果然如他們所料，大受影響。但是莫里斯以為，一覺醒來，什麼事都回復正常，然而當他第二天醒來，惡夢不但沒有完結，而是四處肆虐。

我在讀這段歷史時，不斷暗罵「癡線」，因為他可以在測試環境下試驗，而他竟然選在真實環境。除了「白癡」外，真不知用什麼形容詞來形容。這場第一次網絡「中毒」案，最終花了兩天才殺光蠕蟲。有參與這次「搶救行動」的專家說，他發現那些電腦有如被浸死在水中（These machines were dead in the water—useless until disinfected）。莫里斯最後因《電腦欺詐及濫用法案》被起訴並被判3年緩刑、400小時社區服務及10,000美元罰金，成為這法案被起訴的第一人。除了這「莫里斯蠕蟲」案例外，他也一一講述大型的網路攻擊案例，例如病毒、釣魚電郵，如何使網絡搞垮。

不論奇幻熊，或者十六歲少年入侵Paris Hilton的手機而將她的個資、裸照放上網等事件，都在利用大家的惰性。比如Paris Hilton的入侵手機案例，網絡公司的驗證程式漏洞大到不可思議。至於奇幻熊，他們利用那些奇怪短訊，讓人不以為意按下並「自動」提供資料。這跟南韓的N號房一樣，犯罪者透過釣魚技術來入侵受害人手機。

作者有提出他的「解決」方法，主要仍離不開人的問題。比如為什麼公司要拿了那麼多個資？比如那些大型網站都要求訪客成為會員，而要填寫的個資比實際要用的更多。當一間公司擁有那麼多個資，很容易成為黑客的目標。另一方面，對於一些電郵/訊息，要小心處理。實在太多似是而非的網址，比如很多人收到聲稱來是WhatsApp的訊息，說會兩小時內封鎖帳號，但如果你留心看，會發現英文字母”W”，其是”VV”，又或者”WhatApp”，少了英文字母”s”。

這本書頁數不少（400多頁），份量重。然而對IT不熟悉的人來說，並不會感到困難乏味。作者的文字淺白，仔細解釋那些電腦名詞，並加入圖表作輔助。他大概明白讀者有如當年參與莫里斯案的陪審員，對網絡這東西是「一堆問號」。而以歷史角度為切入點看網絡罪行發展，並以此理解網絡安全，甚為有趣。

～～～～～～～～～～～～～～

［註1］私隱專員公署發表有關數碼港資料外洩事故的調查報告（私隱專員公署）——https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20240402.html

［註2］【數碼港】8月中遭黑客入侵　逾400Gb資料網售235萬（wepro180）——https://www.wepro180.com/230907_cyberport/

［註3］奇幻熊（維基百科）——https://zh.wikipedia.org/wiki/%E5%A5%87%E5%B9%BB%E7%86%8A

［註4］Morris worm（維基百科）——
https://en.wikipedia.org/wiki/Morris_worm

《奇幻熊在網路釣魚》（博客來）——
https://www.books.com.tw/products/0010969080