iT邦幫忙

2019 iT 邦幫忙鐵人賽

DAY 29
1
Security

三十篇資安實例分享及解析系列 第 29

三十篇資安實例分享及解析DAY 29 --寫程式開假發票, 詐騙獎金212萬

不知不覺寫到第29篇了,明天就是最後一天總結了,有些話,等明天在說吧!

「要分析人類和社會,不能像用初級算數一樣套上一定的公式就可以了。」
                                         銀河英雄傳說 楊威利名言

(1)事件:寫程式開假發票 詐騙獎金212萬(新聞來源: https://tw.news.yahoo.com/video/%E5%AF%AB%E7%A8%8B%E5%BC%8F%E9%96%8B%E5%81%87%E7%99%BC%E7%A5%A8-%E8%A9%90%E9%A8%99%E7%8D%8E%E9%87%91212%E8%90%AC-053300598.html )
(2)被攻擊單位:財政部
(3)系統:電腦自動程式開立假發票
(4)時間:2018年10月
(5)攻擊方式:空頭公司雇用工程師寫程式,偽造交易記錄開發票,並且用手機作為電子載具,只要對中財政部統一發票中獎號碼,獎金就會自動匯入嫌犯帳戶

這篇新聞當中的范姓嫌犯,身份應該可以分成下幾類:
(1) 數家空頭公司的老闆
(2) 愛情騙子
(3) 帥氣跑車擁有者
(4) 電腦工程師
(5) 商業詐欺犯

如果把其中幾個不好的用字拿掉,老實講,應該是很多年輕男性追求的人生目標樣版之一。真沒想到有十個女性肯為了他,提供電子載具給他使用,套句時下網路用語『人帥真好,人醜性騷擾!』。

開立假發票事情,其實常有所聞,當然商業會計手法之一,筆者在此就不做說明。只是也不知道位甚麼這位嫌犯會動到財政部統一發票的腦筋,財政部對於發票中獎率的控管,其實是很嚴格的,依照新聞內容,嫌犯雖然已經做了風險的分散,然而,國稅局還是會注意到公司開立發票的情況,依照新聞內容,最有可能漏餡的就是開立過多發票

為何筆者把這則新聞當作資安新聞,主要原因是因為他的手法上來說,是用合法掩護非法,也許讀者會說,他請工程師寫程式開立假發票,怎麼會是合法? 就會計跟審計的流程上來說,這些都是合乎會計跟審計原則,有交易就有發票,帳上只要流下紀錄即可,至於是不是真的交易,除非有異常,例如金額上的異常、交易對象異常等等,基本上也沒有辦法逐筆查核。

因此,就某些商業罪犯來說,都是利用合法手段,來進行資安犯罪,例如有些從事商業會計的人士,將公司客戶資料洩漏給外部人,又或者將公司個資洩漏給外部人,造成公司嚴重的損失,以這種方式,比之於駭客手法更加具有效益,除了當事人了解公司狀況之外,也直接可以知道資料的機密程度。

所以,以最近聯電及中國晉華聯手竊取美光公司機密和專利資料案(新文請參考:https://www.mirrormedia.mg/story/20181030inv003/ )來說,不管案情如何發展,或者有任何陰謀論,總之,若不是身處於這些公司的人一起合作,基本上還是無法如此準確的竊取機密資料。

以本案來說,這個資安層次,應歸類在鑽法律以及規定上的漏洞,因此,無論如何架設防火牆跟加強資安,對於這些人來說,都是無效的,這類的資安問題,如果沒有一定的商業知識,結論是很難辦到的。此案例也許可以當作另一個資安層次深入思考的案例。


上一篇
三十篇資安實例分享及解析DAY 28--銀行過度依賴IBM系統,造成自動提款機2018年10月連續當機多次,金管會下令全體銀行盤點主機
下一篇
三十篇資安實例分享及解析DAY 30--總統府首次主辦「一○六年府會資安週—資安即國安」活動,刑事局54支隨身碟USB贈品感染惡意病毒
系列文
三十篇資安實例分享及解析30

尚未有邦友留言

立即登入留言