社交工程:與其破解夾萬,不如騙取鑰匙

區域法院上周審理一宗騙案,比特通創辦人涉嫌騙取一名投資者 1,000 比特幣。我看了多份報章,從不太統一的報道內容,整理出八卦以外,值得關注的一點。

輕鬆騙取 1000 比特幣

案情相當簡單,事主 2013 年起投資比特幣,持有 1,500 比特幣,並於 2017 使用比特通 Blcex 出售比特幣,並於講座認識時任 CEO 的被告。被告以事主比特幣數量多,存放於冷錢包較安全為由,協助事主把 1,000 比特幣轉移到 Trezor 冷錢包。然而轉移後 1,000 比特幣卻不翼而飛,事主報案,後來警方在被告家中夾萬搜出可轉移事主資產的 24 英文字助記詞,並從區塊鏈紀錄追查到 1,000 比特幣是轉到被告擁有的錢包地址,且已經賣出 180 比特幣,套利 668 萬港元和 58 萬美元,分別存入被告的四個銀行賬號。

期望 juicy 內容的讀者大概失望,沒有高科技,沒有曲折離奇,只不過是非常簡單的社交工程。「橋唔怕舊,最緊要受」,相對於高科技破解,社交工程才是資訊安全中騙徒最常用的手法,或者至少是混合使用,騙一部份,駭一部份。日後有機會我們將再進一步討論 24 字助記詞的原理,但暫時,要了解這宗非常 low tech 的騙案,無需懂比特幣的原理,只需要將案中的關鍵,24 字助記詞理解為鑰匙即可。人話說出來,這騙案不過是被告跟事主說:「你這麼多錢,放在銀包不安全,我幫你買個夾萬吧。」事主說:「哦,唔該!」然後把錢放進被告提供的夾萬並保存鑰匙,卻沒考慮到,被告事前就已經複製了一份鑰匙。

機器是死的,人是生的

社交工程之所以常用,是因為這往往是最脆弱的一環。俗語說「機器是死的,人是生的」,一般是褒獎人類懂得變通,但說到資訊安全,「變通」正正是問題所在。對於機器,密碼不對就不能進,哪怕只差一丁點,即使已經努力了一萬次,甚至輸入密碼的就是持有者本人,結果都一樣。人就不同,假如你是守門人,當對方爛身爛世,或者態度惡劣,密碼給對了你都會格外懷疑,相反當對方形象討好,貌似可靠,很多人感覺舒服了,自然會不加思考把密碼雙手奉上,甚至補上一句「我最擅長睇人」。

說到駭客,一般人總是聯想穿 hoodie 戴帽子、油頭垢面、不善言辭但技術了得的宅男,實質上,身光頸靚,善於跟人打開話題,獲取信任的,即使對技術一竅不通,已經能騙到大量世間財,看過荷李活大片中,里安納度、佐治古尼等怎樣騙人就知。鑽研怎樣打開夾萬,還不如想辦法取信於鑰匙持有人。

這小新聞雖然毫不起眼,但牽涉的金額比很多轟動案件都要大,事主「女投資者」(好幾份報章都在投資者前加個「女」,強化其大媽形象)被騙 1,000 比特幣,今天市值超過一億港元,更別說事主還持有至少另外 500 比特幣。有趣的是,未知是記者寫法偏差還是法例使然,事主索償的是五千多萬港元,要是法庭真的判定賠償以港元計,卻又用上去年舊價,被告不妨馬上賠款了事,淨賺 5,000 萬。

案件中,不論是事主還是被告,讓人感嘆,香港高手在民間。一天到晚聽財演給冧巴,小打小鬧賺點差價的,建議不如去聽審,找機會問問事主下一浪看好甚麼。

* 原刊於 2020.11.03 蘋果日報專欄 #decentralizehk


《區塊鏈社會學》週報,金錢、媒體與民主的再想像,實踐出版自由、財務自由和民主自由。文章逢週四刊出,直接送到訂戶郵箱。



Posted

in

by

Comments

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *