駭客太厲害？人性弱點才是受駭關鍵

您的智慧裝置被駭了，真是駭客科技能力魔高一丈嗎？專家指出，駭客能得逞，往往是利用人性弱點，如貪婪、嫉妒、好奇等等，而竊走機密、行騙款項，不見得要用什麼強大科技。

駭客及「病毒」是電腦科技大興以來，讓人火大頭痛的問題，甚至讓病毒一詞有了雙重意義。專家指出，駭客讓被害人上當，往往是利用人性弱點，比如好奇、害怕、不疑有他等等，而點下電子郵件所附連結，或下載某些檔案，於是電腦或手機便中毒、被劫持，不見得要什麼高科技。

根據《金融時報》報導，世界硬碟大廠希捷(Seagate)員工特蘭2016年發現，駭客居然用她的名義申報不實所得，企圖竊取稅捐機關的退稅款項。調查之下發現，原來是公司人力資源部某員工收到駭客假冒上司發出的電子郵件，要求他交出公司員工的報稅資料，不疑有他，便將所有資料寄出。

希捷的財務長為此致函同仁承認，這項人為疏失本可避免。特蘭和不少同事已向公司提出告訴。

不少公司、組織都接到駭客寄來的釣魚函件，中招方式包括敏感資料流失、電腦被惡意程式鎖定勒贖、匯款到犯人帳戶不等。很多公司高層的因應之道是撥出額外款項購買網路安全科技，但專家警告，公司的資訊安全之所以被突破，人性才是最大弱點，

美國網路安全公司Infoblox副總拉斯穆森(Rod Rasmussen)指出，因人為疏忽而遭駭客攻擊得逞的案例有上升趨勢，通常被害人是較小型企業，最容易得逞。

拉斯穆森表示，釣魚攻擊騙取被害人信任，已有幾百年歷史，但是直到網路時代仍屢屢奏效。比方16世紀就有人用這招，說可以救出繫獄的有錢人，騙人送上款項來換取報酬。

古時候用這個詐騙招術還要直接鎖定被害人、親身研究他們，然後再寄信。現在要釣魚攻擊，連這些「工序」都省了，壞人坦白講就是一下子發出幾百萬封電子郵件，看看有沒「羊牯」上當。

駭客懂得人類心理，故利用貪婪、恐懼及好奇。他們通常使用某公司自己的網站，或求才求職網如領英(LinkedIn)等，來找到誰是下手目標的上司，然後佯裝是上司寄出詐騙函件。內容可以是「有項會議即將召開，你或許有意看看」、「這發票看來不對勁，你幫忙查查」、「這帳單怎麼搞的，你幫看一下好嗎？」收件人只要點擊隨函所附連結，或下載所附檔案，電腦就中毒了。

假使中招的電腦用戶有權限，比如帳號管理員，那麼駭客就中頭彩了，突然之間他們就可環遊全網絡。不然，他們可以鎖定會計人員，佯裝是太匆忙的執行長寄來要錢函件，一心討好上司的員工不疑有他，便匯出款項到以為是廠商請款的帳戶。

按威信通訊(Verizon)最新年報，很多網路攻擊案例中，釣魚是最初入侵點，1/10資料被竊取，一開始都是被釣魚搞到。為此造詞很簡便的英語文已發明新動名詞「phishing」，以示與拿釣竿、魚網去打漁的「fishing」有別。報告中另指出，一般收件人收到電子郵件，不到5秒就會打開附件。

另外利用人性弱點來入侵網絡的手法，還有「搞社交手腳」，比如在職場留下有毒的USB硬碟，總有人會受不了誘惑，拿來插入自己電腦看看內容是什麼。甚至還有些帶毒器材佯扮成禮物送來，比如動了手腳的豪華鍵盤。測試入侵案件數目的Trustwave公司便把3具那種鍵盤寄去某公司，結果有5部電腦中招，意味有人「盜用」同事的鍵盤，不是出自嫉妒就是貪婪。

盜墓的與修墓的本是一家。既然有駭客，就有網路安全業務。一家名叫KnowBe4的公司便號稱，自己可以提供線上課程，訓練員工們提高戒心，對可能發生的網路犯罪有所防範。課程之一便是把假的釣魚電郵寄給全體職員，看看有多少人踩了陷阱。公司宣稱，以往一年把全公司集合起來上課一次，教導防駭防毒意識，已經不夠用，以現在網路犯罪之猖獗，員工必須念茲於心，知道安危僅在滑鼠敲擊一下之間。（首圖為東方IC提供）