網絡中釣大魚

AdrianAu
·
·
IPFS
·

大家一直都很在意網絡安全,因為每天生活都會接觸。手機儲存的個人資料越來越多,而各大公司收集的個人資料也不少。然而,總有公司對IT部門不太重視,到出事時才發現,那時已經太遲。記得去年(2023年)數碼港在8月受黑客攻擊,共有超過13,000名資料當事人的個人資料外洩,當中約四成受影響人士為求職者及已離職僱員[註1]。諷刺的是,那時數碼港剛與警務署合作,發現8成機構或企業有網絡漏洞[註2]。不知這8成,有否包括數碼港公司。

與網絡安全的書的確不少,除了曾介紹的《零時差攻擊》外,最近也閱畢一本類似的書籍,名叫《奇幻熊在網路釣魚》,作者史考特·夏皮羅。網路釣魚相信大家知道是phishing,但「奇幻熊」為何跟網絡安全有關?因為奇幻熊(Fancy Bear)是一個俄羅斯網絡間諜組織,對不少國會發動網絡攻擊[註3],他們的得意之作,要數以電郵來影響美國2016年總統大選。

作者在書中有分析奇幻熊如何成功竊取大量資料,但這只是其中一個案例。作者先從最早的案例,開始講述什麼「東西」會影響網絡安全。第一個是電腦蠕蟲。電腦蠕蟲是一種能自我複製的程式,當電腦中了蠕蟲,它能影響電腦的效能。原來,當年曾有一個人,將一條蠕蟲放到網絡上,看它的影響力。這人叫莫里斯,他和他的朋友視此為「天才計劃」(Billiant Project)[註4]。當莫里斯在康乃爾大學,以遠端登入麻省理工學院的電腦,將蠕蟲放入網路,網路果然如他們所料,大受影響。但是莫里斯以為,一覺醒來,什麼事都回復正常,然而當他第二天醒來,惡夢不但沒有完結,而是四處肆虐。

我在讀這段歷史時,不斷暗罵「癡線」,因為他可以在測試環境下試驗,而他竟然選在真實環境。除了「白癡」外,真不知用什麼形容詞來形容。這場第一次網絡「中毒」案,最終花了兩天才殺光蠕蟲。有參與這次「搶救行動」的專家說,他發現那些電腦有如被浸死在水中(These machines were dead in the water—useless until disinfected)。莫里斯最後因《電腦欺詐及濫用法案》被起訴並被判3年緩刑、400小時社區服務及10,000美元罰金,成為這法案被起訴的第一人。除了這「莫里斯蠕蟲」案例外,他也一一講述大型的網路攻擊案例,例如病毒、釣魚電郵,如何使網絡搞垮。

不論奇幻熊,或者十六歲少年入侵Paris Hilton的手機而將她的個資、裸照放上網等事件,都在利用大家的惰性。比如Paris Hilton的入侵手機案例,網絡公司的驗證程式漏洞大到不可思議。至於奇幻熊,他們利用那些奇怪短訊,讓人不以為意按下並「自動」提供資料。這跟南韓的N號房一樣,犯罪者透過釣魚技術來入侵受害人手機。

作者有提出他的「解決」方法,主要仍離不開人的問題。比如為什麼公司要拿了那麼多個資?比如那些大型網站都要求訪客成為會員,而要填寫的個資比實際要用的更多。當一間公司擁有那麼多個資,很容易成為黑客的目標。另一方面,對於一些電郵/訊息,要小心處理。實在太多似是而非的網址,比如很多人收到聲稱來是WhatsApp的訊息,說會兩小時內封鎖帳號,但如果你留心看,會發現英文字母”W”,其是”VV”,又或者”WhatApp”,少了英文字母”s”。

這本書頁數不少(400多頁),份量重。然而對IT不熟悉的人來說,並不會感到困難乏味。作者的文字淺白,仔細解釋那些電腦名詞,並加入圖表作輔助。他大概明白讀者有如當年參與莫里斯案的陪審員,對網絡這東西是「一堆問號」。而以歷史角度為切入點看網絡罪行發展,並以此理解網絡安全,甚為有趣。

~~~~~~~~~~~~~~

[註1]私隱專員公署發表有關數碼港資料外洩事故的調查報告私隱專員公署)——https://www.pcpd.org.hk/tc_chi/news_events/media_statements/press_20240402.html

[註2]【數碼港】8月中遭黑客入侵 逾400Gb資料網售235萬(wepro180)——https://www.wepro180.com/230907_cyberport/

[註3]奇幻熊(維基百科)——https://zh.wikipedia.org/wiki/%E5%A5%87%E5%B9%BB%E7%86%8A

[註4]Morris worm(維基百科)——
https://en.wikipedia.org/wiki/Morris_worm

《奇幻熊在網路釣魚》(博客來)——
https://www.books.com.tw/products/0010969080


CC BY-NC-ND 4.0

Like my work? Don't forget to support and clap, let me know that you are with me on the road of creation. Keep this enthusiasm together!