iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 12
2
Security

資安戰爭 三十六計系列 第 12

資安戰爭 三十六計之第12計:順手牽羊

  • 分享至 

  • xImage
  •  

/images/emoticon/emoticon06.gif《原文注釋》:「微隙在所必乘;微利在所必得。少陰,少陽。」

/images/emoticon/emoticon15.gif《原文解析》:

(1)微隙在所必乘;微利在所必得:微小的漏洞必須利用,微小的利益,也必須獲得。
(2)少陰,少陽:指敵方小的疏漏,就是我方小的得利。

/images/emoticon/emoticon33.gif《出處》:

以右手牽馬、羊,方便進獻。比喻方便行事,毫不費力。語本《禮記.曲禮上》。後用「順手牽羊」比喻乘機順便取走他人財物。這裡,順手牽羊的「羊」指防守有間隙、有薄弱環節的地區。在不影響進攻主要目標、完成主要任務的前提下,利用時機,出動小股部隊,神出鬼沒發動攻擊以獲得意外的、原先沒有料到的戰果,就叫「順手牽羊」。

春秋時,晉獻公途徑虞國滅掉虢國,回師虞國時又乘其不備,滅掉了虞國;秦穆公攻打鄭國,兵至滑國時,知鄭人已有戒備,滅鄭沒有希望,就順手滅掉滑國,然後班師回秦,都是典型的例子。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

由資安機構 CheckPoint 揭露,被稱為「順手牽羊行動 Operation Sheep」的活動,由一個看似為科技公司 Hangzhou Shun Wang Technologies 作主導。實際該公司為一個網絡平台,將其打造的 SWAnalytics SDK,嵌入 12 款 Android apps 內。該 SWAnalytics 會不經用戶的同意下,偷偷地把手機上的通計錄上傳到該公司的伺服器上,預計總下載量已逾 1.11 億次,估計該公司至少已搜集中國三分一的人口姓名及電話號碼。

Check Point 預計這些通訊錄可能被用來作傳銷、目標詐驗,或者應用於一些友人推薦的計劃內。不過,SWAnalytics 不會搜集 Android 6.0 或以前用戶的通訊錄,而且會放過美圖手機的用戶,原因未明。

【12 款竊取用家通訊錄名單 Android Apps】

《來電閃光燈(Incoming Call Flashlight)》
《測速大師(Network Speed Master)》
《電池醫生(Battery Doctor)》
《Wi-Fi 密碼神器(Wi-Fi Password Key)》
《Wi-Fi 信號增強器(Wi-Fi Signal Amplifier)》
《氧秀直播(Syoo Video)》
《充電加速器(Super Battery Charge)》
《快樂捕魚(Happy Fishing)》
《快樂捕魚(Happy Fishing)》
《快樂電玩捕魚(Happy Fishing)》
《91Y 直播》
《91Y 遊戲》

Check Point 建議如已安裝以上 12 款的 Android Apps 的用戶,盡快移除,雖然受影響的用戶的通錄訊已被搜集,但該 SWAnalytics 是當用戶開啟相關 apps 或重新啟動手機時,便會悄悄搜集手機上的通訊錄資料,若用戶時不時會有新的通訊錄更新,還是刪除為妙。幸運的是,受影響的 Android Apps 未於 Google Play 上發現,主要出現於中國程式市集,如:華為應用程式市集、小米應用商店、360 手機助手、百度手機助手等。

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

企業裡面,有很多順手牽羊的行為,例如去年一月分,有位女會計因為利用職務之便,將應該付給廠商的貨款,轉手買了800多個名牌包,犯案期間至少三年以上。之後,又發生另一件鴻海子公司一位女的人資,利用職務之便,偽造薪資明細,不僅每月幫自己和男友加薪,就連後續轉調到同集團的男友,還能利用職務之便,繼續領原公司的薪水,犯案期間至少兩年以上。

在我國刑法裡面,第339-3條,也稱為「電腦詐欺罪」,該條文如下:

https://ithelp.ithome.com.tw/upload/images/20190928/20107482yrgZDwaUfH.jpg

筆者一樣用刑法犯罪三階層理論分析:

1.構成要件:分主觀與客觀

(A)客觀構成要件:施用類似詐欺的手法操縱電腦的手法,影響資訊處理的流程,並造成財產的損失。
(B)主觀構成要件:意圖為自己或第三人不法之所有。主觀的意思就是指「不法之意圖」,法律上對於意圖的定義,非常特殊,筆者上課時聽到一個案例時,也是非常迷惑,但是邏輯上並沒有錯,以下引用一個範例說明。

我要倒垃圾, 出門時才發現外面正下雨,懶惰的我懶得回20樓的家拿雨傘,就直接拿一樓鄰居的傘出門丟垃圾後,再把雨傘放回原處。我有竊取鄰居雨傘的故意,但是我沒有不法占為己有的意圖,因為雨傘很醜我才不想要,就不符合竊盜罪的要件,不成立犯罪。我沒有「偷」、只有「借」。這樣的行為可能很不道德,但是刑法認為這個小事不太需要用國家權力處罰,所以不構成犯罪。

  1. 違法性:是否阻卻違法的事實?
    此處,在法條上解釋上,就是要以「不正的方法」將虛偽資料或不正指令輸入電腦或其相關設備。

但是,注意看本篇文章前面所說的,會計買名牌包及人資轉假薪資兩個案例,都是正常使用電腦,甚至給予合法的權限,他才能有後續的執行虛偽資料或不正指令,那麼這個電腦詐欺罪的犯罪事實,可能就阻卻了違法事實,此部分就是會阻卻掉了違法,已經產生矛盾了,這也是立法者必須思考的地方。

  1. 罪責:七年以上有期徒刑,得併科七十萬元以下罰金。

有關於上述的分析,法律上的解釋,大致是這樣,然而,在內部管理上,如果是金錢上的損失,尚還有得救,假如是重大無形資產,例如商譽、營業機密,那麼就得要更深入思考,流程上是否有欠缺之處,只要有小縫隙,不要說是駭客,公司內部執行人,只要有所意圖,就會馬上會造成損失,因此,制定流程上,申請、覆核、核准都必須要確實執行,理論上,造成損失應該都有責任要負責,如何避免這些問題。

以下為建議方式:

1.	核決權限表及罰則都要很明確。
2.	ERP內要詳細設定卡控
3.	確實的落實,並且按時稽核。

總結:
(A)攻方:利用疏忽、縫隙進攻。
(B)守方:流程上卡控及獎懲要落實。


上一篇
資安戰爭 三十六計之第11計:李代桃僵
下一篇
資安戰爭 三十六計之第13計:打草驚蛇
系列文
資安戰爭 三十六計36
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

0
snk
iT邦新手 5 級 ‧ 2020-12-09 16:46:10

我要倒垃圾, 出門時才發現外面正下雨,懶惰的我懶得回20樓的家拿雨傘,就直接拿一樓鄰居的傘出門丟垃圾後,再把雨傘放回原處。我有竊取鄰居雨傘的故意,但是我沒有不法占為己有的意圖,因為雨傘很醜我才不想要,就不符合竊盜罪的要件,不成立犯罪。我沒有「偷」、只有「借」。這樣的行為可能很不道德,但是刑法認為這個小事不太需要用國家權力處罰,所以不構成犯罪。

這舉例很好啊 但是好像對這沒甚麼辦法...

我要留言

立即登入留言