公司精心設計騙局,只為「釣」員工上資安課?──我在矽谷的上當血淚史
面對爾虞我詐的網路世界,使用者可以如何避免釣魚訊息?
Photo Credit:Song_about_summer@Shutterstock
疫情期間在家工作,溝通都靠線上文字,Email 大量增加,陷阱也如雨後春筍般地冒出。
記得年初剛做完前一年的考績評鑑,收到老闆 Email 說想聽聽我的意見。通常考評怎麼給完全看老闆,員工看到時已成定局,主管不必這麼「謙虛」。但我心想老闆畢竟是新來的,人也挺不錯,也許他早就聽說矽谷工程師不好管理,認為管理人脈比管理技術重要,才邀請我先看看他給我的考評。
看著這封由公司內部 Email 寄出的信,送件人顯示為老闆,信中連結就是考績──但當我點擊下去,立刻發現受騙了!螢幕上跳出一個斗大的訊息: 抱歉,你被「釣」到了,必須要上資安課。
是的,公司精心設計了這個騙局,就是為了釣員工上課。
情治單位退休的資安工程師,如何令人聞風喪膽?
上就上吧,但這種課沒那麼好混,線上課一個小時, 每一個螢幕必須要閱讀完才能換到下一個螢幕,有事沒事還回頭考上一個螢幕的内容,每隔幾頁就跳出小考,沒通過又得繞回去。最後還有畢業考,80 分以上才能通過。拿出台灣那一套會背書、會考試的生存法則在這裡用不上……這些都是安全部門開的課程,哪那麼容易混?美國人腦子比較直接,打混式考題常常連猴子都會,但網路安全與法律課程都是陷阱,極盡詐騙整人之能事,大部分又是複選題。這些人都是預防網路詐騙出身,很多是 FBI 或情治單位退休,他們設計的教材和考題可沒那麼容易混。
很多人不知道,矽谷工程師裡權柄最大的是「資安工程師」,地位相當於特務警察,網路安全架構全由他們掌握。每一個跟資安有關的案子都必須獲得批准才能上架,當中由他們決定資料如何儲存、儲存在哪裡、要經過哪幾道程序才能接觸得到後端、哪些資料必須加密、哪些必須放在防火牆後……背後的規矩可多著。設計所需的各項成本通通不納入考量,不合規定一蓋打回票,天塌了都不妥協。
正因權柄這般大,案子急著推出的工程部門都怕他們。此外他們無時無刻不在監視你──前兩天我收到資安部門在 Slack 敲我,附上連結說我的電腦有一個可疑的木馬程式要我立刻消除,雖然我又懷疑這是釣魚,但從自己的管道查證還真的找到那個可疑的檔案。資安部門太常「釣魚」的結果就是說什麼都被當成「放羊的孩子」,真有可疑都不會再有人相信。更讓我心神不寧的是公司上萬名員工,我的電腦有一個可疑檔案他怎麼會知道?這就好像警察來敲門警告你衣櫥裡躲了個壞人,我擔心的不只是那個人,而是「警察怎麼會知道?」
開頭那堂被釣魚課我以 80 分低空閃過,也學會從此看到老闆的 Email 若出現連結或副檔打死不點開。
後來跟老闆順口提到他那封釣魚信,他哈哈一笑說從來沒釣過我的魚,不但如此他自己也被釣過,也被抓去上過課……。我猜他的老闆,也就是我老闆的老闆也不知情,說不定他也被他的老闆釣過。這一大串粽子到底有多少是沒有被釣到過的?顯然背後是資安部門操盤,搞得大家都被當釣客也被當魚,不分階級,也不知有多少人被騙。說不定我的 Email 也出現在大老闆信箱裡,請他看看我上次騎登山車的精彩照片。這年頭誰也不敢再相信誰。
「這不是釣魚,拜託回應一下吧」
安穩過了半年多。有一天寫了一份簡報放在雲端請老闆過目,隔了兩個禮拜收到老闆 Email 說他留了評語,要我點擊進去看。我點下去,又上當了,也又上了一次課。你說有血有肉的正常人能不上當嗎?
講到這,你或許會納悶:這種事應該如何避免呢?很簡單,任何人寄給你的連結,即使是老闆、或老婆,或老闆的老闆,都不可以直接點,要用所知的可信連結自己登入查證。第一次被騙的考績評估,公司有內部網站,看考績應該從那個網站登入;第二次被騙的簡報留評,應該從我自己開設的雲端連結上去看。只要出現在 Email 裡的連結, 一定要查看寄件人背後的真實地址,有問題就不要點擊。當然,後來還是陸續收到老闆寄來有連結也有附檔搞得五彩繽紛的 Email……這些我通通不理不睬,也已讀不回。
以上兩個案件都有其他方式可以進入查證。若沒有佐證條件,就要仔細看連結字串是否有可疑之處,最起碼,端點要符合邏輯,主端點應該有公司的名字,而且只有公司的名字。但事情也未必這麼單純,有些案子連結來自外部,無法從字串判別真偽,因此跟公司有合作關係或提供工具的外部公司,每一家你都得學會從字串上判别合法性。比方今天才收到公司委外的健保機構 Email,提醒我點入連結看看今年有哪些新福利,我當然只能不理不睬。
後來又收到大老闆 Email 裡面有連結,開宗明義就說這不是釣魚,被騙太多次當然沒人理會,最後他只好親自一一打電話拜託,說連結是真的。我還是不太相信,這年頭 AI 什麼事幹不出來?另外有一次公司有重大緊急宣布,也是開宗明義就說這不是演習也不是詐術──但這麼容易一句話詐騙的人難道不會說?所有釣魚信件開宗明義都可以說「不是釣魚,請不要跳過」,一句話就可以漂白不太容易了?那次重大緊急通知唯一讓我信服的是 Email、Slack、手機全部同時同步出現訊息,若真有駭客有本事搞得這麼令人信服就讓他釣吧,花那麼大的精力也挺可憐的。
「報官 vs. 私了」很兩難,所以絕不能讓它發生
大網站每被駭一次往往影響數億使用者,肯定上晚間新聞。過去流行偷使用者資料拿到地下網站拍賣,近幾年駭客升級,入侵網站未必是偷資料,而是把網站鎖住要贖金。就像小偷進了門不偷東西而是換鎖,回頭跟你要贖金交換鑰匙。知名大網站每當機 1 秒都是數千或數萬美元起跳,誰禁得起整個網站癱瘓?這一點完全打到痛點。
動輒上億筆資料要想偷偷拷貝出去,幾天幾夜不被發現也很難,偷了資料拿到地下網站拍賣辛苦又沒效率。綁架網站雖然難度高,但回報也高,已經慢慢成為一股新風潮。網站以前擔心的是資料被偷,現在擔心的是被綁架。但共同的防範基礎都是「看緊門戶」不能放陌生人進來。
美國法務部規定個資被駭或網站被綁架不能私了,必須稟報 FTC 和 FBI 以刑事案件處理。2016 年 Uber 個資外洩付了 10 萬比特幣私了,整起事件到 2022 年才曝光。當年的首席資安長 CSO(Chief Security Officer)也隨事件曝光,被以干預司法罪名入獄。
讀到這裡你也應該知道大網站有一個 C 字頭的首席資安長,地位相當於一級主管。網站安全官權力大,責任更大。發生重大資安事件不管後果如何最後都得滾,門戶沒有看好當然要滾。處理不當下場很慘,即使是受 CEO 指示付錢私了也一樣,不但得滾還得背黑鍋入獄。網站綁架一旦報公處理,FBI 就可以把網站當犯罪現場封鎖,資產百億美元的企業可能就這樣給搞垮了。這種事不論報公或私了都是災難,最好的方法就是絕對不能讓它發生。要想不發生,第一個該把關的就是可以進入後台的員工。
釣魚要成功,只需一個破口
釣魚仍是目前最簡單、最有效也最迅速的方式,90% 的駭事都始於 Email 釣魚。
2016 年美國總統大選著名的釣魚事件,就發生於柯林頓競選總部,也對選舉結果造成影響。希拉蕊競選主席波德斯塔(John Podesta)收到 Google 通知帳號被駭,要他立刻更改密碼。Email 經過競選總部鑒定為真,導致他們也全都「真的被騙了」。那封 Email 是來自 Googlemail.com,不是 Google.com,這些魚目混珠的釣魚店網址如今想想有點好笑,但還真的有用。
Email 釣魚分 3 種:下海亂撈一通、用魚叉射魚和釣鯨魚。
在海裡亂撈一通的釣魚你我大概都經歷過,這最多只能騙到個人資料,是混混級做法;第二個層次玩大的駭網站客戶;更高一等就綁架網站。後面兩個層次都需要鎖定特定對象騙到密碼,這叫魚叉射魚,看準了才出手。釣大尾鯨魚則用於高階主管,意不在使用者資料,而在竊取公司內部機密,這跟大部分人都無關。但駭客最有興趣的是進入後台資料庫,打開大金庫。
網站入侵分好幾個層次:第一個是公司内部網站──大網站都把內部跟對外營運網站分離;第二個層次是營運網站,只有負責網站營運的人員才能登入;第三個層次是網站後台。能進入營運網站的人未必能登入後台資料庫,上萬人的公司濃縮到最後,可以登入後台資料庫的不過只有 20 來人。公司若有任何一位員工被駭,接下來就有 3 種可能:一是駭客就此打住,收穫就只有一個人──蠢賊才這麼做;二是駭員工資料,收穫可能上萬人; 三是駭後台客戶資料,收穫可能上億,也可以綁架網站。當然越後面越難也越專業。第一步是拿到入門鑰匙,後面走多少算多少,駭大網站最後的目標一定是大金庫,否則也太没出息了。
當然駭客並不知道哪些人可以進入後台,一開始只是任選一個員工先駭入公司,從內部名冊及所屬團隊名稱,可以判斷哪些人有權限可以進入後台,再等待機會叉下一條魚。最致命的缺口通常來自內部,如果同事發 Email 送一個連結請你上去查看,大部分人都會上當。一旦進了大門,後面都不會太難。
防護再嚴密的網站,最大的弱點都在人,從來不在科技。幾萬名員工只要有一個人疏忽,駭客就可能進大門。銅牆鐵壁的網站都有廉價的破口,最弱的員工就是那破口。再強的科技、再大的投資,都可能砸在一個粗心員工的手裡,所以現在你也應該能體諒為什麼這麼多公司會不厭其煩、爾虞我詐地整我們,讓人上個班都草木皆兵。
在機場用筆電工作,小心連到假 Wi-Fi!
除了 Email 釣魚,駭客也會從公共場所下手!在公共工作空間常會看到人們拿筆電坐在角落工作,在機場候機室更會看到出差等候登機的員工打開筆電讀 Email……這畫面乍看很酷,其實既危險又蠢,因為這等於勾引魚叉過來射你。
怎麼叉魚呢?用假餌,也就是「假 Wi-Fi」把特定對象騙進去截收資訊──這種情形最常出現在資安防線薄弱的機場,人們來去匆匆,起飛前總急著上網送出最後一封 Email,或回答老闆的最後一則 Slack 訊息,以表示人在外心在內處處以公事為重,此時很少有人會注意資安細節──跟機場 Wi-Fi 名稱非常類似、足以目混珠的假 Wi-Fi。
以前科技公司喜歡在給員工的筆電上貼大大的公司標記,員工邊等飛機邊工作也是某種榮耀。現在大家都學乖了,我的筆電就找不出任何蛛絲馬跡是哪一家企業配的──連財產序號都不標示公司名稱。早期的矽谷式榮耀,現在顯得愚蠢。
當然科技公司也不是只仰賴密碼,幾乎每一家公司都有配套的登入輔助碼。早期每個員工隨身都攜帶一個可以掛在鑰匙環上的迷你代碼顯示器,系統每 60 秒送出一組 6 碼代號,登入時必須配合代號。代碼只能顯現在顯示器上,算是安全。但後來為了降低成本,改成虛擬顯示器,把代碼送到筆電上。由於同一代碼在 60 秒之內都有效,出現在筆電上的任何資訊又都可能被截收,那 60 秒就成為致命的窗口。
我知道有遭駭的公司就是國外出差員工使用公司筆電虛擬顯示器在機場被侵入,所以勸你在機場候機若閒著無聊上網看看社群網站就好,不要無聊到上銀行查看結餘,誰知道你連結的 Wi-Fi 是不是真的?
近年科技公司改用電子鑰匙,每次登入要按一下插在筆電上的鑰匙,送出加密亂碼跟後台比對才放行,每次送出的亂碼不同,同一組亂碼也只能使用一次。這大大降低公共場所被假 Wi-Fi 駭的機率。駭客即使搭便車進了城門,想利用另一個有權限的帳號轉入後台,他還得同時握有對方的帳號、密碼和電子鑰匙, 三樣缺一不可,這是目前最可靠的方式。對於資安大家都越搞越麻煩,因為最不方便的往往也是最牢靠的。過去人們為了方便而製造了破口,現在因為破口又回到過去的不方便。
網路世界爾虞我詐,有體溫的人才是真的
危險通常出於内部最可靠的來源,駭客一旦進了門剩下的都不難,所以公司也利用最接近大門的人不斷測試。這招玩久了大家不再上當,於是改成用「事件」測試──Email 可能來自內部事件通知系統,說有案件已擱置很久要你進去核准;要不就測試你對公司的「愛」有多深。那天我收到客服Email,有人留了 1.5 顆星網評,由於跟我的領域有關,希望我能貢獻專長從旁協助改善……寫得文情並茂令人動容。動之以情還真有效, 解決問題我又在行,我不假思索把滑鼠移到連結上,正要點擊時突然又想:這該不會是另一個騙局吧?還好沒理它,後來證實擺爛是對的,不然現在又在上課了。
科技騙人容易,搞得每天杯弓蛇影,每一份資訊來源都得查證真偽,上班忙著防被釣。經過差點再上當的客服事件,我也吃了秤砣鐵了心,若真有什麼需求,唯有老闆約我到酒吧喝杯啤酒當面談我才信。當網路世界爾虞我詐,只有冰啤酒跟有體溫的人才是真的。
