iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 28
0
Security

資安戰爭 三十六計系列 第 28

資安戰爭 三十六計之第28計:上屋抽梯

/images/emoticon/emoticon06.gif《原文注釋》:「假之以便,唆之使前,斷其援應,陷之死地。遇毒,位不當也。」

/images/emoticon/emoticon15.gif《原文解析》:

(1) 假之以便,唆之使前:故意顯示出有利可圖之點,引誘敵人進入絕境。
(2) 斷其援應,陷之死地:截斷它的增援或接應部隊,使它全部陷入被包圍的死地。
(3) 遇毒,位不當也:遭遇覆滅的大禍,那是由於貪得無厭。

/images/emoticon/emoticon33.gif《出處》:

劉琦的後母蔡氏和他的族人支持劉琮繼承劉表的權位,劉琦怕被後母蔡氏所害。於是劉琦來向劉備求計,劉備轉問諸葛亮,諸葛亮礙於劉琦的家事,不願說出口。劉琦失望而去,臨走時劉備附耳教了劉琦一計。過了幾天,劉備叫諸葛亮代他回訪劉琦。劉琦邀諸葛亮留下來飲酒,期間劉琦兩次向諸葛亮求計都被諸葛亮以疏不間親和家事拒絕。後來劉琦說家中有一本古書,想請諸葛亮去看看。諸葛亮於是和他登上小樓去看書,結果到了小樓上沒有看見書,劉琦又向諸葛亮哭泣求計。這時諸葛亮作色而起,想要離開,但是看到樓梯已被人抽去,也無可奈何。這時劉琦又以死相逼,諸葛亮不得不說出了解救劉琦之法。諸葛亮教劉琦學晉文公重耳在朝堂危險是遠離朝堂,江夏當時缺乏守將可以去駐守江夏。劉琦依計而行,終於逃過一劫!

/images/emoticon/emoticon76.gif《資安戰運用實例》:

無處不在的駭客攻擊,就算你是資安公司也照攻不誤。全球知名安全軟體公司「Comodo」的官方網路論壇驚傳有漏洞,大量使用者的個資遭外洩,甚至放到網路上,這起事件也再次證明網路攻擊的可怕。Comodo的官方論壇,主要是讓網友跟該公司用來資訊交流非常重要的地方,這個論壇是使用了非常流行的論壇軟體vBulletin所打造,不過最近vBulletin也傳出有高風險漏洞,它讓駭客用非常簡單的方法,就能非法在論壇上放入惡意程式碼。更慘的是,這個漏洞還允許這些攻擊者下載保存著全部論壇使用者資料數據庫,這個vBulletin軟體漏洞在9月23日曝光,2天後vBulletin即刻發出更新,緊急修補問題,避免有心人士藉由該方式進行攻擊。至於Comodo,雖然標榜他們將使用者的安全性放在第一位,但很明顯的vBulletin發表更新後,Comodo並沒有迅速地放在自己的論壇上,在vBulletin更新檔釋出4天後,Comodo官方論壇就遭到駭客入侵,還將大量使用者資料曝光在網路上。

Comodo表示,這些被竊取的資料包括論壇使用者的帳號名稱、用戶姓名及電子郵件地址;另外,每個使用者最後一次登入論壇的IP位置,還有部分跟帳號相關聯的社交媒體用戶名稱,也因為這個漏洞而遭到外流。Comodo指出,截至資料外洩當時,註冊官方論壇使用者的數量是245,000人,但密碼方面則因為採用了加密儲存,理論上不會對使用者帶來風險。雖然就目前流出的資料來看,並不是真正屬於個人隱私或相關資訊,不過,畢竟是一間主打網路資安的公司,用戶資訊遭竊多少都有點沒面子,即使漏洞來源是出自vBulletin,並非Comodo自家的軟體或硬體。目前Comodo希望所有註冊過官方網路論壇的使用者,可以儘快更改密碼,同時避免跟其他服務用到相同密碼,藉以減低可能的資安風險。另外,若有其他同樣是用vBulletin建構的論壇,但仍未套用更新的話,也建議相關管理者應以Comodo這次的事件作為警惕,速速將論壇恢復成安全狀態。

原文請參考:《匯流新聞網--保不住自己?大型資安業者「Comodo」官方論壇遭駭 大量用戶個資外洩》:https://today.line.me/tw/pc/article/%E4%BF%9D%E4%B8%8D%E4%BD%8F%E8%87%AA%E5%B7%B1%EF%BC%9F%E5%A4%A7%E5%9E%8B%E8%B3%87%E5%AE%89%E6%A5%AD%E8%80%85%E3%80%8CComodo%E3%80%8D%E5%AE%98%E6%96%B9%E8%AB%96%E5%A3%87%E9%81%AD%E9%A7%AD+%E5%A4%A7%E9%87%8F%E7%94%A8%E6%88%B6%E5%80%8B%E8%B3%87%E5%A4%96%E6%B4%A9-krzYP0

/images/emoticon/emoticon13.gif《企業實務上,筆者觀點》

去年年底,中國大陸很多地方發生P2P的暴雷事件,所謂的P2P借貸,簡單的說,就是利用網路平台,私人借貸給企業,同時換取高額利息回報的網貸平台。其實,這種方式在全球已經行之有年了,只是是換成網路平臺的金融借貸案,這種方式,我們都統稱「龐氏騙局」。以下摘自Wikipedia:

「龐氏騙局」稱謂源自美國一名義大利移民查爾斯•龐茲(Charles Ponzi),他於1919年開始策劃一個陰謀,成立一空殼公司騙人向這個事實上子虛烏有的企業投資,許諾投資者將在三個月內得到40%的利潤回報,然後龐氏把新投資者的錢作為快速盈利付給最初投資的人,以誘使更多的人上當。由於前期投資的人回報豐厚,龐氏成功地在七個月內吸引了三萬名投資者,這場陰謀持續了一年之久才被戳破。

目前中國大陸很流行用微信或是支付寶消費,然而後端的建置普遍不是太完整,因此,雖然方便,可是其實在亞洲比較先進的國家大部分也都未普及,臺灣因為便利商店林立,所以也並不是一定要使用支付寶等等來交易,個人交易上以現金與信用卡還是主流。

回到所謂的P2P的借貸,由於中國缺乏具有公信力的第三方金融信用評等系統,同時企業又有資金的需求,因此很多網路金融交易的信用貸款就因應而生,筆者引述一段聯合新聞的評論:

中國近年P2P大型爆雷,始於2015年的「e租寶」事件,當時有380億無法追回,e租寶曾經是中共當局大力宣導推薦的「金融創新」P2P平台,出事後中共卻「立案」認定其為「非法集資」。憤怒的債權人與分析者認為,中共當局不只是監管不力,簡直就是榨取人民血汗錢的「共謀」。
中國盛行的P2P平台,刺激全中國人民藉由網路之便以及貪利之心,大舉借債、超額消費,猶如中共主導的國家級龐氏騙局,天量的民間財富以十億百億為單位,一再被公私機構、政商權貴,甚至政府當局無情收割,中國金融市場因而滿目瘡痍,互聯網普惠金融與科技獨角獸神話,也一再破滅,淪為群魔亂舞的圖鑑。

在台灣,我們不難發現,其實類似這種地下經濟,早已經存在很久,新聞也常常再報,尤其最近筆者常接到某某未上市股票投資公司,打電話來推薦某某高報酬的股票等等。筆者在今年六月份,曾經有上海的朋友來電詢問,某某保健食品公司是不是在台灣有包下音樂廳?是不是有合法登記?是不是真的有這家公司?筆者後來查詢,該公司宣稱其產品有很高的療效,並吸引下線投資該公司的產品,利用直銷手法,只要能招募多少人加入,就能升到甚麼等級,並且會有高額獎金可拿,這也是主打高投資高報酬的一個案例,當然這種誇張的詐騙手法,居然能跨國到上海,實在網路無國界,連這種吸金的犯罪也能跨國詐騙。

筆者是據有財務背景的,有時候還是希望大家能仔細思考,到底多少投資報酬率才是合理的報酬?在大陸發生P2P網貸的問題之後,大陸銀保局的主席郭樹清說了一段話:「報酬率6%,你就要打問號,超過8%的就很危險,10%的你就要做好準備,可能會喪失全部本金。」這段話大家可以思考看看,他說的是對的?還是錯的?就交給各位自行思考了。

隨著網路的發達,這類的詐騙還是會繼續存在的,而且手法也會越來越高明,比特幣、物聯網等等的電子交易也會持續被有心者利用,這種上屋抽梯的詐騙手法也會一直翻新,這類的詐騙,就算在多資安也沒用的,畢竟人的貪念,有時會讓自己找到很多合理化的解釋,而如何防止上屋抽梯方法,也只有靠大家的智慧了。

以下是10月份比特幣的詐騙案,《假賣比特幣真詐財! 6人吞1400萬遭起訴》新聞連結:https://news.tvbs.com.tw/local/1209434


上一篇
資安戰爭 三十六計之第27計:假癡不癲
下一篇
資安戰爭 三十六計之第29計:樹上開花
系列文
資安戰爭 三十六計36

尚未有邦友留言

立即登入留言