iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 21
2
Security

資安戰爭 三十六計系列 第 21

資安戰爭 三十六計之第21計:金蟬脫殼

/images/emoticon/emoticon06.gif《原文注釋》:「存其形,完其勢;友不疑,敵不動。巽而止蠱。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 存其形,完其勢:保持原來的形態,完整原來的陣勢
(2) 友不疑,敵不動。巽而止蠱:使友軍和敵人既不懷疑又不輕舉妄動,使友軍和敵人既不懷疑又不輕舉妄動,隱蔽轉移主力,必須要先迷惑敵人。

/images/emoticon/emoticon33.gif《出處》:

元‧關漢卿《謝天香》第二折:「便使盡些伎倆,千愁斷我肚腸,覓不的個金蟬脫殼這一個謊。」。三國時期,諸葛亮六出祁山,北伐中原,但一直未能成功,終於 在第六次北伐時,積勞成疾,在五丈原病死於軍中。姜維遵照諸葛亮的吩咐,在諸葛亮死後,秘不發喪,對外嚴密封鎖消息。他帶著靈柩,秘密率部撤退。司馬懿派部隊跟蹤追擊蜀軍。姜維命工匠仿諸葛亮摸樣,雕了一個木人,羽扇綸巾,穩坐車中。並派楊儀率領部分人馬大張旗鼓,向魏軍發動進攻。魏軍遠望蜀軍,軍容整齊,旗鼓大張,又見諸葛亮穩坐車中,指揮若定,不知蜀 軍又耍什麼花招,不敢輕舉妄動。司馬懿一向知道諸葛亮「詭計多端」,又懷疑此次退兵乃是誘敵之計,於是命令部隊後撤,觀察蜀軍動向。姜維趁司馬懿退兵的大 好時機,馬上指揮主力部隊,迅速安全轉移,撤回漢中。等司馬懿得知諸葛亮已死,再進兵追擊,為時已晚。

/images/emoticon/emoticon76.gif《資安戰運用實例》:

社群網站像是Facwbook或是IG,都會特別標記公眾人物「藍色勾勾」,認證是本人帳號,但最近傳出有不肖駭客,假冒官方寄信,說要提供藍勾勾認證,要求一些網紅或藝人提供帳號密碼,被害人不察因而上當,不但沒得到認證,整個帳號都被盜用。,嫌犯相準的,就是網紅粉絲動輒上萬到數十萬,容易被冒用名號,希望能得到官方認證藍勾勾的心態,寄釣魚信件詐騙。收到這類信件,最好睜大眼睛看清楚,才不會被一時興奮沖過了頭,珍貴回憶與私密照片,全都被駭客輕易到手。
原文請參考:
《民視新聞網--駭客假稱IG藍勾勾認證騙帳密 這些網紅、藝人都中招》:
https://tw.news.yahoo.com/%E9%A7%AD%E5%AE%A2%E5%81%87%E7%A8%B1ig%E8%97%8D%E5%8B%BE%E5%8B%BE%E8%AA%8D%E8%AD%89%E9%A8%99%E5%B8%B3%E5%AF%86-%E9%80%99%E4%BA%9B%E7%B6%B2%E7%B4%85-%E8%97%9D%E4%BA%BA%E9%83%BD%E4%B8%AD%E6%8B%9B-112426801.html

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

宏達電幾年前曾爆發,公司設計部副總在外面開立兩家假的公司,利用假交易的方式,假借製造委外的方式,除了將公司的機密洩漏給外包公司,並且利用兩家外包公司開立假發票,詐領了宏達電千萬的設計費用。

中華電信在今年年初也爆發一件假交易的案子,內部的工程部門,將工程委外給兩家公司,其中一家是採購,另外數家是銷貨,當中華電信將採購款付給採購公司之後,該公司在將其取得的貨款,貸給這些銷貨公司,這些銷貨公司取得該家公司的訂單之後,假借名義向銀行做信貸,在把回扣給工程部門的人之後,就宣佈倒閉。

假交易的模式的案例,在企業裡面,是常常可以發現的,尤其近幾年,大型公司的弊案一直在發生,使得假交易開始逐漸曝光,筆者必須說明,假交易查核很不容易,那麼需要甚麼樣的情況,才會爆發? 最關鍵的一個重點是,內部舉發。講好聽點叫內部舉發,實際上,就是發黑函檢舉,其中有部分是為了不想扛法律刑責,不想幫主管之後,又被牽連,因此只好在離職後,當吹哨者檢舉。另一種就是內部分配不均,因而不甘心,轉為汙點證人檢舉。

我們注意看這些交易,其實很多都是轉了好幾層,甚至虛設公司來進行各種詐騙,一般的公司財會部門,也不容易查覺交易是否真實,所有的訂單到收款都正常,也正常開立發票等等,實際上都有照流程進行,所以基本上要在流程上發現問題是很困難的。

當這些虛設的公司在進行交易時,所有的信件都是有記錄在系統內,基本資料也都建立的很完整,甚至公司也派人去實地審查過,很多記錄都很完備,只要未完成他們所想要的機密或者利潤,這些公司都會存在好幾年的,而且這類公司大部分都在海外設立,相對的查核就有其困難度。當然企業在交易時,有種查核是為避免對方信用不良,通常會進行信用查核,如果在國外就會委託美國鄧白氏,如果在國內就會委託中央信評公司進行信用查核。由信用資料來查核公司是否存在,但是,效用還是有限的。

筆者要說明的一點是,我國的資通安全管理辦法,雖然是針對政府相關單位,其內容不只是只有單指資訊方面的防範,更重要的,內容也擴及到採購、銷售,這些交易模式都有納入資安防護範圍內。因此,資安這個名詞,在未來就得要更廣義的去思考,尤其是企業的防護要不要進行更嚴格的審查,隨著各種舞弊案例越來越多,這些案例,都能協助企業考慮更周詳,應對的速度與效率更快速提升的方法。

因此,案例的檢視是有助於提升公司的資安能力的方式之一,不管企業或政府公家單位,應該有專責單位負責案例、新聞、法律判決的資料蒐集,以達到資安的防範目的。


上一篇
資安戰爭 三十六計之第20計:渾水摸魚
下一篇
資安戰爭 三十六計之第22計:關門捉賊
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言