罪犯或借選舉處電腦行騙 (范健文)
選舉事務處在今屆特首選舉期間遺失兩部電腦,內藏全港378萬地方選區選民的姓名、地址及身份證號碼,當局暫時未有解決方法,只強調資料已被多重加密,罪犯很難破解。金管局又大派定心丸,指單憑該等資料不能使用網上銀行服務,電話銀行亦需要用戶回答額外的保安問題,理論上還是安全的。不過實際真的如此嗎?罪犯真的會天真地憑着上述三項資料,直接致電銀行辦轉賬?
社交工程套取密碼
罪犯的犯罪手法當然不會這樣直接,假設對方成功解密,與其打草驚蛇直接聯絡銀行,倒不如放長線釣大魚。他可以運用這些資料向銀行以外的服務供應商埋手,找出目標的電郵、電話、社交媒體賬號等資料;又可以域名查冊服務Whois逆向搜尋,以登記者姓名查找名下的網站及相關公司名,為下一步的攻擊行動做準備。然後他可以裝作你的服務供應商或網購網站,向你發出針對性的釣魚電郵,附上釣魚網站的連結,吸引你點擊並輸入真實的用戶憑證 ……這種手法統稱為「社交工程」,不需要太精密的科技,罪犯一樣可以利用人的心理攻其不備。
著名資訊安全公司Kaspersky Lab上月剛發布2016年金融機構保安風險報告,顯示有75%電腦罪犯都是透過社交工程手法行騙,只有不足五分一是選用精密設計的惡意程式。平日看電影,電腦罪犯總是掛着一副高深莫測的表情,坐在黑房中敲着鍵盤,但現實中,相比鑽研程式碼、找漏洞,他們其實更傾向利用人性,直接向目標對象索取資料,成功率更大。
在外國就曾經有記者「以身試法」,邀請職業黑客示範利用社交工程入侵他的生活。結果黑客凱旋而歸,其中一名女黑客只憑目標的全名、電話號碼和他女朋友的名稱,用假來電顯示冒認為目標的電話號碼,然後加上一段YouTube上的罐頭嬰兒哭聲騙取同情心,成功假裝成目標的妻子,從電訊商手上得到目標的個人電郵,甚至重設賬戶密碼,整個過程都是透過電話熱線進行。
主動出擊難,願者上釣卻不難,尤其知道對方能夠說出我們很多重要資料時。今次選民資料外洩的後果很嚴重,雖未有證據顯示有不法之徒染指這些個人資訊,但提高警覺一定無壞。以後如果接到預期之外的「服務商」聯絡,且向你索取證實身份的資料,不如先收線,然後自己直接聯絡該服務商跟進。總之小心點,以防「姜太公」有機可乘。
更多范健文文章:
支持EJ Tech
如欲投稿、報料,發布新聞稿或採訪通知,按這裏聯絡我們。