祕密、謊言、社群網站

| | | | | | 留下回應

    

一四九二年，哥倫布看見西印度群島阿拉瓦克族的酋長身上配戴著黃金飾物，從此引發了歷史上無止盡且殘酷的尋金熱潮。

然而當征服者將掠奪到的「黃金」放入鎔爐中，結果卻得到的是黃鐵礦（於是後來這種東西也被稱作「愚人金」）才深刻體驗到「所見不一定即所得」。這道理大多數人都懂，然而這句格言應用到現今網路世界，以及發生在我身邊的人的詐騙事件上更顯貼切。

在網路普及的今天，電腦早就不是資訊業和年輕人的專利。像我那從事傳統產業，與電腦資訊關聯度低，四十啷噹的親愛老哥也能輕易用起即時傳訊軟體和別人聊天，但我沒想到我老哥趕流行的同時，竟然連「被害」都不讓年輕小夥子專美於前(據研究這正是最大宗的被害族群)。過年前夕，接到老哥一通氣急敗壞的電話，「有人冒用我的身分跟電話，在網路上到處訂貨！」他說。

內容簡單，卻讓搞資安的我聽到下巴都快掉了。

難以置信的原因是，除了老哥平常轉寄「他覺得有趣，我視為垃圾」的郵件、加上對電腦應用技術不熟外，頂多有小中毒或是過於靈敏刪了不該刪的檔案，應該不會有什麼因素導致這樣的事件發生。而且我還親自為他的電腦「加持」過—買了坊間口碑最好的防護系統(防毒、反間諜、反垃圾郵件、防火牆及入侵防禦-綠色盒子那種)！也因此，這件事情自然從我當天的事件處理清單中一躍而升為特急件。

「這件事情很嚴重！搞不定你就得吃官司！」在威脅利誘下我親愛的老哥囁嚅道出事情的起因與經過；「就是MSN惹的禍啦！」他說，「我以為他是我認識的人，所以跟他聊聊還互寄信件分享；但是當他跟我聊一些怪怪的東西時，我就請他不要再與我聯繫並封鎖他的MSN，結果就發生了這件事情。」

事實真相是否如此單純？坦白說我是不太相信，不過那並不是個深入探究的好時機，而且我豈能允許有人把腦筋動到我的家人身上！初步分析下，我發現對方是個居心叵測的傢伙！對方在跟老哥交談時就先「癱瘓」了防護系統。（請注意是癱瘓而非摧毀，兩者的差距是在癱瘓是看起來形體還在，只是功能喪失。而摧毀是完全毀滅）。頗有我得不到也不讓你好過的感覺，讓我更懷疑起因的單純性（老哥啊，你到底跟人結了什麼仇啊？）

言歸正傳。

經過隨後的電腦蒐證，我赫然發現在癱瘓防禦機制後，對方在我哥PC上植入高達十三種各式遠端遙控與木馬等破壞性工具，取得長驅直入的門票後，他竊取了老哥電子郵件的帳號與密碼，緊接著登入服務供應商(ISP)網站仔細察看了老哥的個人資料、電話號碼、帳單地址，然後到網路上幾家知名線上拍賣網站(P站、Y站)，假冒身分下單。更狠的在後面，冒名訂貨的同時，他還在近期被併購的一家社群網站上用利用偷來的帳號身分架設個人拍賣網站準備買空賣空，詐財獲利再找個代罪羔羊！或許這可憐的小羊還會以為是自己惹惱了朋友被修理自己倒楣了事。

就在接到老哥電話不到一小時內，我聯繫了所有網路賣、買雙方，並把網路信箱中聯繫往返的郵件、寄件備份與收信匣全部備份，再把我哥的硬碟完整製作了影像檔(保留證據以利於不敗之地)。同時我也立刻封鎖了社群網站上以老哥帳號為名開設的空殼違法釣魚與詐騙網站，以防有人受騙上門。最後是皆大歡喜的結局，沒有人受到實質損失，我想唯一留下的是受驚嚇的老哥十年怕草繩的心情。但至少他是幸運的，有多少人可以像他那樣全身而退？

在案例中有很多發人省思的要點，其中像是個人網頁空間申請的認證是如此薄弱，導致詐騙等事件橫行、服務供應商包含ISP跟網站業者的應變機制脆弱與推諉、網站交易對身份認證等，但因為牽涉範圍較廣，今天暫且不討論。

社群=信任圈?

首先我想點出的是，社群往往鬆懈了我們的警戒心。發生在我哥身上的是個源自於「社群」也終於「社群」的詐騙案件（以虛擬人群為詐騙的起點、利用知名的社群網站作為詐騙實行的終點）。包括我在內，有很多人很難一天脫離MSN等傳訊軟體及網路；無名小站等部落格更是挖寶交友的好地方，它們簡單、易用、迅速、是人際資源的「金礦」，但卻步步危機。在虛擬社群中，與你對話的只是個帳號，你無從得知隱藏於帳號後面的是誰；現實生活中我們與信任的人談心，但在虛擬世界中與你談心的一定值得信任嗎？大多數人在申請ISP帳號時大多是依照規定鉅細靡遺的填寫了全部的欄位，但有多少人會料到，一樣的資料被有心人士利用是多麼可怕！社群網站上網友給的好康分享固然誘人，但你得小心他們給的東西是真的「黃金」還是當年騙了哥倫布的黃鐵礦？

使用者才是安全的根本

其次我們看到，安全之道絕對在使用者本身。案例中，雖然我老哥電腦裝了多合一的防護軟體，不過他在好奇心驅使與戒心鬆懈下，仍然接受對方透過MSN所傳輸看來無害的自我解壓縮檔案，並不假思索執行開啟的動作，最後系統的核心組態慘遭置換。由於大多數的使用者都沒有有足夠的能力辨別自己的防護機制是否完整正常，也因此大家都相當仰賴螢幕右下角工具列的圖案判斷PC有無設防。

這個圖標似乎變成防禦機制存在與有效的代表—卻可能也是一個假象。 事實上，圖標存在顯示正常並不絕對等於功能正常，這也使得有心人士可以在假象的掩護下得以長驅直入，再多的隱私與秘密都被窺視殆盡。若過於依賴工具而使用者自己沒有足夠的安全素養，再好的安全機制也枉然。

蒐證自保

我老哥例子給的最後一個教訓是，除了慌亂之外，如何在遇到這類事件時在第一時間應變自保。蒐證是最好應變之道：蒐證是網路鑑識很重要的一環，但其實它並不是調查人員的專利，稍微知道適當的蒐證可免於自己蒙受損失，甚至吃上官司。

以往大多數人所受到的安全教育都是遇到安全事件，拔網路、殺毒甚至把硬碟格式化重新安裝等各種方式清除攻擊者「遺留」下來的工具為優先。然而隨著攻擊型態由摧毀標的物轉變為竊取資料與財務，完整的保留事件現場(包含了軟、硬體)，當涉及法律權利義務關係時，適當蒐證可以確保事件不至於因為外力影響而失真。切記：任何一個未經思考過的動作都會影響證據是否足夠保護自己—以及自己是否有刑責。當然，最好還能即時尋求合適的救援管道與資源，根據我處理過大大小小的案例經驗，很多受害者都是一開始怕別人譏笑而延誤應變的時機。

社群網站作為一個新興的網路應用，建立了人際互動的場域，虛擬和現實人際關係一樣活絡。然而只要有人，就有謊言，謊言的目標從身分竊取、隱私窺探到金錢謀奪，和真實社會版新聞沒有兩樣，甚至更容易--不管你願不願意。虛實交錯運用之下，歷史上的「愚人金」可能乘著現代科技，穿透過層層安全防護悄悄的來到你身邊。