就算是 Google 和 Facebook,也會被原始的方式騙走一億美金

德國電影大師韋納.荷索在他關於科技和網路的記錄片《Lo and Behold》中訪問了被譽為駭客之神的米克尼特(Kevin David Mitnick)。米克尼特在 15 歲時就破解北美空中防務指揮系統,並在 16 歲時成為了全球第一名網路少年犯。在電影中,他提到他是如何入侵諾基亞,當時的人認為給他一支電話就可以駭入五角大廈系統,讓潛藏在北極海的潛艦發射導彈。米克尼特在訪問中說道:「沒有,我用的是最原始的方式,沒有什麼高超技術可言。」

我打電話給客服說我有手機技術方面的問題,客服聽不懂我的提問,所以轉到了技術部門。我在技術部門詢問了技術部門不懂的通訊和服務項目,所以技術部門人員又給了我他們主管的名字 A。然後我打給該主管 A ,發現該 A 正在請假,但他的通訊語音中留下了「我目前正在休假,我的職務代理人是 B,你可以透過下列這個方式聯絡到他」這樣一來我就知道了 B 小姐的聯絡方式。

我打給 B,和他說我是 A 的計畫伙伴,B 告訴我說主管 A 正在休假(是阿,我早就知道了XD),但是我裝出很急迫且緊張的語氣告訴 B ,可是我們有一個嚴重的系統漏洞必須要馬上處理,B 作為職務代理人沒有相關權限,但是 B 替我找了更高階的主管,而且透過 B 的口來替我保證:「這個人是 A 的重要伙伴」,所以另外一位主管自然就相信了我,然後一層一層向上,最後給了我重要的安全密碼,然後我就入侵諾基亞核心系統了XD

再嚴密的系統,只要是人控制管理的,都會有縫隙;因為人性有弱點,系統就會有漏洞。是的,就是俗稱的「社交工程(social engineering )陷阱」。上個月美國司法部公布了一份資料:指稱一名 48 歲的立陶宛男子 Evaldas Rimasauskas  僅使用了電子郵件所製造的資訊落差騙局就從兩家美國大型科技公司手中騙到了一億美金的鉅款,他上週在立陶宛被逮捕。司法部的公告中並沒有公開兩家公司的名稱,隨著當事人被逮捕,我們得知這兩家被詐騙的科技公司就是 Google 和 Facebook。

這兩家科技巨擘對於此案件保持沈默的理由或許是為了避免名譽受損,因為他們竟然被如此簡單沒有高科技的的手法詐騙高達一億美金。 Evaldas Rimasauskas  是怎麼做的呢?首先,他在拉脫維亞註冊了一家公司,這家公司的名稱和另外一家亞洲的電腦軟硬體製造商(廣達)名稱非常相近,而 Google 和 facebook 都和這家公司有商業往來,並定期向其採購與匯款。Rimasauskas 知道 Google 和 Facebook 都和此公司有合作,

所以他以廣達的雇員名義,用極為接近難以分辨的的電子郵件信箱向 Facebook 和 Google 發佈訊息說因為業務變動,我們需要更改匯款銀行帳號,把應該匯給這家亞洲公司的款項轉到了自己控制的戶頭,獲利超過一億美金。出於對於 Google 和 facebook 這等大型公司的信賴,這家亞洲電腦公司對於匯款延遲一開始不疑有他,直到發現貨款延遲實在太嚴重之後,向 Google 反應才發現此一事件。

從頭到尾,沒有什麼複雜的高科技,就是發信件、說明事情,回信。整個過程很可能就像上面我提到的米克尼特案例一樣。再嚴密的安全系統,只要沒了電就不能運作,再複雜的手續,只要有人操控,都有可能突破,因為人性有弱點,系統就會有漏洞。更重要的是,雙方認知的角度不同和資訊落差,會是所有欺騙得以實現的主要原因。


Source
Fortune|http://fortune.com/2017/04/27/facebook-google-rimasauskas/
Slashdot|https://it.slashdot.org/story/17/04/27/1817230/facebook-and-google-were-victims-of-100m-payment-scam
Exclusive: Facebook and Google Were Victims of $100M Payment Scam