這次的 MSN 帳號盜用狀況, 可以用網災來形容了,以 Pogo 的親身經歷為例, 以往是 約 2-3 週會冒出個人要 Pogo 幫買遊戲點數 嗯.. 光這事就有問題.. Pogo 小氣是在朋友間出名的事就放一邊不談, 熟的人會找 Pogo 談錢的事根本天方夜譚.... 到這陣子每週起碼有 1 個人, 目前最高記錄上週有 3 個人來要 Pogo 買點數, 算算 Pogo 的名單約 250 人, 有印像找 Pogo 代買點數的已經有 8 人, 換算下來已經有 3.2% 的比例是 "已知" 的受災戶, 這比率實在高得有點驚人, 更可怕的是, Pogo 的名單中多為 IT 從業人員, 也就是說, 本業為 IT 應有基本認知的人都深受其害了, 更何況是一般的用戶? 說來, 為什麼這次的災情如此嚴重? 檢視這次的詐騙手法, 除了傳統比較好防範的病毒, 後門程式外, 資安業界最不願意見到與最不願承認最有效的Hack手段 - 社會行為 , 在這次的事件發揮的可說是 淋離盡致 Pogo 認為, 這源於幾個重大的錯誤認知 一般的 User 認為, 我只要有防毒軟體, 我就安全了 MIS 人員認為, 我只要買了 Firewall, UTM, IPS, 防毒牆.. 更 "盤仔" 一點的 DLP, WAF, 我就安全了 為什麼為認知如此偏差? 其實是市場上的訊息不斷的教育這些買家,"你沒有買這些東西的話, 你就會曝露在多大的風險中" 但從來沒人和你說 "你光買了這些也沒有用, 你必需..." ISMS 流於型式化, 資安產品像是宗教產品一樣的不斷的勸用戶買入 大家卻忘記了, 資安的最根本問題, 就是 "人" 你買了頂級的 IPS , 帳密是 Admin / abc123 有用嗎? 你叫 David , 你的 msn 密碼老是設定 david 或 david123 有用嗎? 你有全套的 ISMS 防護機制, 你的用戶老是把帳號密碼用便利貼 貼在 monitor 上 有用嗎? 你家的無線網路有加密, WEP/WPA Key 老是你們公司的電話號碼或統一編號 有用嗎? 在多次的與朋友公司的閑談,老是有人要 Pogo 証明看看資安的硊...