MSN 帳號盜用詐騙事件之我見
嗯.. 光這事就有問題.. Pogo 小氣是在朋友間出名的事就放一邊不談, 熟的人會找 Pogo 談錢的事根本天方夜譚....
到這陣子每週起碼有 1 個人, 目前最高記錄上週有 3 個人來要 Pogo 買點數, 算算 Pogo 的名單約 250 人, 有印像找 Pogo 代買點數的已經有 8 人, 換算下來已經有 3.2% 的比例是 "已知" 的受災戶, 這比率實在高得有點驚人, 更可怕的是, Pogo 的名單中多為 IT 從業人員, 也就是說, 本業為 IT 應有基本認知的人都深受其害了, 更何況是一般的用戶?
說來, 為什麼這次的災情如此嚴重?
檢視這次的詐騙手法, 除了傳統比較好防範的病毒, 後門程式外, 資安業界最不願意見到與最不願承認最有效的Hack手段 - 社會行為, 在這次的事件發揮的可說是 淋離盡致
Pogo 認為, 這源於幾個重大的錯誤認知
一般的 User 認為, 我只要有防毒軟體, 我就安全了
MIS 人員認為, 我只要買了 Firewall, UTM, IPS, 防毒牆.. 更 "盤仔" 一點的 DLP, WAF, 我就安全了
為什麼為認知如此偏差? 其實是市場上的訊息不斷的教育這些買家,"你沒有買這些東西的話, 你就會曝露在多大的風險中"
但從來沒人和你說 "你光買了這些也沒有用, 你必需..."
ISMS 流於型式化, 資安產品像是宗教產品一樣的不斷的勸用戶買入
大家卻忘記了, 資安的最根本問題, 就是 "人"
你買了頂級的 IPS , 帳密是 Admin / abc123 有用嗎?
你叫 David , 你的 msn 密碼老是設定 david 或 david123 有用嗎?
你有全套的 ISMS 防護機制, 你的用戶老是把帳號密碼用便利貼 貼在 monitor 上 有用嗎?
你家的無線網路有加密, WEP/WPA Key 老是你們公司的電話號碼或統一編號 有用嗎?
在多次的與朋友公司的閑談,老是有人要 Pogo 証明看看資安的硊弱, 以上的手法再也簡單不過了, 就是有很高的機率能簡單的
Pogo 只能說, 災情還會再嚴重下去, 因為有認知的人太少, 為了方便, 總是簡化了資安中最基本的防護
因為, 你不會只在你的電腦裝 100% 合法正當來源的軟件, Pogo 就抓到好幾張號稱整合式超級XP 安裝片有後門的, 更不用說來路不明的破解軟體或序號產生器
因為, 你不會把你的密碼用 大小寫混合+數字+特殊字元 再20個字以上, 而且中英混合的, 因為你記不住, 就算你密碼真的這麼設了, 你還是會因為後門或間諜軟體, 或詐騙網站, 自己把密碼送出去
因為, 不管 Browser 多盡責給你多少安全性警告, 還是會被你同意執行下去 , 大部分的人根本不看內容就同意了....
最後就是, 不要相信廠商, 套句朋友的經典名句 "資安只是口號, 是拿來喊的" 你只會買到個產品而不是買到安全
我就是David,但密碼不是david123,是david456,哈!加油,Pogo!
回覆刪除