MSN 帳號盜用詐騙事件之我見

這次的 MSN 帳號盜用狀況, 可以用網災來形容了,以 Pogo 的親身經歷為例, 以往是 約 2-3 週會冒出個人要 Pogo 幫買遊戲點數

嗯.. 光這事就有問題.. Pogo 小氣是在朋友間出名的事就放一邊不談, 熟的人會找 Pogo 談錢的事根本天方夜譚....

到這陣子每週起碼有 1 個人,  目前最高記錄上週有 3 個人來要 Pogo 買點數, 算算 Pogo 的名單約 250 人, 有印像找 Pogo 代買點數的已經有 8 人, 換算下來已經有 3.2% 的比例是 "已知" 的受災戶, 這比率實在高得有點驚人, 更可怕的是, Pogo 的名單中多為 IT 從業人員, 也就是說, 本業為 IT 應有基本認知的人都深受其害了, 更何況是一般的用戶?

說來, 為什麼這次的災情如此嚴重?

檢視這次的詐騙手法, 除了傳統比較好防範的病毒, 後門程式外, 資安業界最不願意見到與最不願承認最有效的Hack手段 - 社會行為, 在這次的事件發揮的可說是 淋離盡致

Pogo 認為, 這源於幾個重大的錯誤認知

一般的 User 認為, 我只要有防毒軟體, 我就安全了


MIS 人員認為, 我只要買了 Firewall, UTM, IPS, 防毒牆.. 更 "盤仔" 一點的 DLP, WAF, 我就安全了


為什麼為認知如此偏差? 其實是市場上的訊息不斷的教育這些買家,"你沒有買這些東西的話, 你就會曝露在多大的風險中"

但從來沒人和你說 "你光買了這些也沒有用, 你必需..."

ISMS 流於型式化, 資安產品像是宗教產品一樣的不斷的勸用戶買入

大家卻忘記了, 資安的最根本問題, 就是 "人"


你買了頂級的 IPS , 帳密是 Admin / abc123 有用嗎?
你叫 David , 你的 msn 密碼老是設定 david 或 david123 有用嗎?
你有全套的 ISMS 防護機制, 你的用戶老是把帳號密碼用便利貼 貼在 monitor 上 有用嗎?
你家的無線網路有加密, WEP/WPA Key 老是你們公司的電話號碼或統一編號 有用嗎?

在多次的與朋友公司的閑談,老是有人要 Pogo 証明看看資安的硊弱, 以上的手法再也簡單不過了, 就是有很高的機率能簡單的 破解 通過這些自認的資安防護

Pogo 只能說, 災情還會再嚴重下去, 因為有認知的人太少, 為了方便, 總是簡化了資安中最基本的防護

因為, 你不會只在你的電腦裝 100% 合法正當來源的軟件, Pogo 就抓到好幾張號稱整合式超級XP 安裝片有後門的, 更不用說來路不明的破解軟體或序號產生器

因為, 你不會把你的密碼用 大小寫混合+數字+特殊字元 再20個字以上, 而且中英混合的, 因為你記不住, 就算你密碼真的這麼設了, 你還是會因為後門或間諜軟體, 或詐騙網站, 自己把密碼送出去

因為, 不管 Browser 多盡責給你多少安全性警告, 還是會被你同意執行下去 , 大部分的人根本不看內容就同意了....

最後就是, 不要相信廠商, 套句朋友的經典名句 "資安只是口號, 是拿來喊的" 你只會買到個產品而不是買到安全

留言

  1. 我就是David,但密碼不是david123,是david456,哈!加油,Pogo!

    回覆刪除

張貼留言

這個網誌中的熱門文章

Xperia Mini Pro Root (SK17i)

由 瞎子摸象 事件來看世代交替的現像

Xperia Mini (ST15i) Root