駭客及「病毒」是電腦科技大興以來,讓人火大頭痛的問題,甚至讓病毒一詞有了雙重意義。專家指出,駭客讓被害人上當,往往是利用人性弱點,比如好奇、害怕、不疑有他等等,而點下電子郵件所附連結,或下載某些檔案,於是電腦或手機便中毒、被劫持,不見得要什麼高科技。
根據《金融時報》報導,世界硬碟大廠希捷(Seagate)員工特蘭2016年發現,駭客居然用她的名義申報不實所得,企圖竊取稅捐機關的退稅款項。調查之下發現,原來是公司人力資源部某員工收到駭客假冒上司發出的電子郵件,要求他交出公司員工的報稅資料,不疑有他,便將所有資料寄出。
希捷的財務長為此致函同仁承認,這項人為疏失本可避免。特蘭和不少同事已向公司提出告訴。
不少公司、組織都接到駭客寄來的釣魚函件,中招方式包括敏感資料流失、電腦被惡意程式鎖定勒贖、匯款到犯人帳戶不等。很多公司高層的因應之道是撥出額外款項購買網路安全科技,但專家警告,公司的資訊安全之所以被突破,人性才是最大弱點,
美國網路安全公司Infoblox副總拉斯穆森(Rod Rasmussen)指出,因人為疏忽而遭駭客攻擊得逞的案例有上升趨勢,通常被害人是較小型企業,最容易得逞。
拉斯穆森表示,釣魚攻擊騙取被害人信任,已有幾百年歷史,但是直到網路時代仍屢屢奏效。比方16世紀就有人用這招,說可以救出繫獄的有錢人,騙人送上款項來換取報酬。
古時候用這個詐騙招術還要直接鎖定被害人、親身研究他們,然後再寄信。現在要釣魚攻擊,連這些「工序」都省了,壞人坦白講就是一下子發出幾百萬封電子郵件,看看有沒「羊牯」上當。
駭客懂得人類心理,故利用貪婪、恐懼及好奇。他們通常使用某公司自己的網站,或求才求職網如領英(LinkedIn)等,來找到誰是下手目標的上司,然後佯裝是上司寄出詐騙函件。內容可以是「有項會議即將召開,你或許有意看看」、「這發票看來不對勁,你幫忙查查」、「這帳單怎麼搞的,你幫看一下好嗎?」收件人只要點擊隨函所附連結,或下載所附檔案,電腦就中毒了。
假使中招的電腦用戶有權限,比如帳號管理員,那麼駭客就中頭彩了,突然之間他們就可環遊全網絡。不然,他們可以鎖定會計人員,佯裝是太匆忙的執行長寄來要錢函件,一心討好上司的員工不疑有他,便匯出款項到以為是廠商請款的帳戶。
按威信通訊(Verizon)最新年報,很多網路攻擊案例中,釣魚是最初入侵點,1/10資料被竊取,一開始都是被釣魚搞到。為此造詞很簡便的英語文已發明新動名詞「phishing」,以示與拿釣竿、魚網去打漁的「fishing」有別。報告中另指出,一般收件人收到電子郵件,不到5秒就會打開附件。
另外利用人性弱點來入侵網絡的手法,還有「搞社交手腳」,比如在職場留下有毒的USB硬碟,總有人會受不了誘惑,拿來插入自己電腦看看內容是什麼。甚至還有些帶毒器材佯扮成禮物送來,比如動了手腳的豪華鍵盤。測試入侵案件數目的Trustwave公司便把3具那種鍵盤寄去某公司,結果有5部電腦中招,意味有人「盜用」同事的鍵盤,不是出自嫉妒就是貪婪。
盜墓的與修墓的本是一家。既然有駭客,就有網路安全業務。一家名叫KnowBe4的公司便號稱,自己可以提供線上課程,訓練員工們提高戒心,對可能發生的網路犯罪有所防範。課程之一便是把假的釣魚電郵寄給全體職員,看看有多少人踩了陷阱。公司宣稱,以往一年把全公司集合起來上課一次,教導防駭防毒意識,已經不夠用,以現在網路犯罪之猖獗,員工必須念茲於心,知道安危僅在滑鼠敲擊一下之間。(首圖為東方IC提供)