MSN詐騙手法大解密
前些日子，時常在朋友的MSN帳號後面看到[請不要點我傳送的連結!有毒!]，隨著時間流逝，這樣的MSN狀態雖然減少，但隨之而來的卻是詐騙集團更精密的攻擊。筆者在一個半月前收到同事的訊息，主要的內容是需要請筆者幫忙購買遊戲點數卡，並且把遊戲點數的授權碼傳遞給他。直接以電話求證同事本人後，馬上就發現同事的帳號已經被盜用了！直至今日身邊受騙的朋友愈來愈多，手法也愈來愈精密，在深入了解每個受害者所遭遇到的程序及方法，經過仔細的分析後，所有的應用手法均源自於古老，不過僅是綜合各種手法，以IT知識為後盾利用使用者的無知，讓詐騙受害者自動掉入詐騙集團的手中。
詐騙事件就在你身邊

雖然警方一再的宣導、勿聽指示操作ＡＴＭ，接到可疑電話要撥165，但是收到可疑訊息、連結怎麼辦？電話詐騙還有溝通的成份在內，可以觀查其語氣及反應變化，但網路訊息來源及去向幾乎都是未知的環境，比起電話詐騙手法，只有文字的網路詐騙更加的虛無，但是在字裡行間都可以察覺到詐騙的味道！我們將目前所接觸到的手法歸類為三種(木馬、釣魚、社交工程)，其中社交工程的技術程度最低，也是最多人受騙上當！社交手法不外乎忘記帶手機、急事發生要求幫忙、臨時走不開或是手機螢幕壞了，以緊急的狀況讓受騙者無法仔細思考而受騙上當。因此，在社交工程只要記住急事緩辦的處理原則，不難發現破綻百出！ 資訊安全的金三角包含有可用性(Availability)、完整性(Integrity)及機密性(Confidentiality)！(ISC)2將三個核心簡稱為A.I.C.，而資訊安全的各種考量點也以這三個理論來考量，但是知道原理如何，就知道怎麼做防護嗎？
以下舉個簡單的例子讓大家明白這三個理論的特性，首先以[可用性]來說可以分為[即時]及[可信任]兩個組成要素。即時指的是要用時要可以馬上使用，這個特性則是視擁有者對於這個物件運作容許停機層度，若是極重要的資訊資產，那麼停機是一刻不容，就該以最高規格來規劃（例如：Cluster或是多機在線備援），而可信任意指當服務中止時，轉移過程中必須可以被信任，若轉移時常發生無法如預期運作時。那麼這個機制則不可信任。
完整性則分為三個要素所組成，1：[避免未經授權者做未經授權的變更]，這個例子很好說明考驗的是基本道德及教養問題，例如：Ａ君冒用Ｂ君登入WebMail濫發信件。2：[避免取得授權者做未經授權的變更]例如：負責維護資料的管理者濫用職權閱覽線上報名個資。最後3：[確保內部與外部的一致性]則是當備份的資料要轉送到備援中心的過程中，遭到不正當的資料變更。因此簡單的來說完整性講求的是授權、保護及稽核的機制。
最後一個基礎是機密性，常常有人將機密性與完整性搞混了！機密性唯一的要素是[避免有意或無意的散播]，例如重要的資訊不想被其它競爭對手窺知，傳遞時加上文件加密及文件版權管理，來限制合作夥伴有意或無意的散播。
為何筆者會說機密性與完整性時常被搞混！例如駭客將公開網站的公告資訊做修改，是屬於機密性還是屬於完整性的喪失呢？駭客修改網站的例子是屬於未授權者做未授權的變更，並非是將網站資料做加密程序來保護，以避免資料被駭客有意或無意的洩露。以電子郵件為例：加上數位簽章只能確保一致性，不能保證機密性，欲確保機密性則必須透過例如PGP…等等的郵件加密，若是MSN密碼被盜用，即是喪失機密性，若密碼、備用信箱被篡改了，則同時喪失了完整性。

詐騙手法大解密
自7月起國內電話不再顯示+886的政策行施後，想必一定造成詐騙集團的困擾，而我們也發現自6月開始MSN的詐騙事件開始大量發生！由原本的木馬程式去詐騙帳號密碼，演進成為釣魚網站自動收取受害者的MSN登入資訊，最後偽冒受害者對其它連絡人進行詐騙，更會透過詐騙手法引誘其它連絡人連接至釣魚網站後，騙取其它連絡人的帳號密碼。最後，再以偽冒的連絡人藉故要求上線連絡人幫忙買遊戲點數卡或是進行手機驗證。
這樣的詐騙手法的門檻看似很高，但是個別拆開來看你將會發現，每一個手法個自都有個自的缺陷並且容易被查覺，接下來筆者將解析各個手法的運作及問題。首先我們以其詐騙的程序及做法來解說，而手法不外乎是木馬、釣魚、社交工程…等程序來達成詐騙。
木馬程式竊取帳號密碼
透過不斷的宣導和教育，使用者已經不會去理會莫名奇妙留言和連結，但是隨著Facebook、MSN Foto惡意程式的流行，惡意程式會偽冒你的帳號濫發有毒程式連結例如（Foto :D http://faceimag.com/photo.php?=GMIT-Jason@hotmail.com），若你不小心點擊了連結會出現下載檔案的視窗，在安裝後程式就會代替你轉發上述連結，以你的身份去危害更多人。如果下載一隻程式只是要轉送這個連結，那這個想法也太單純了點，重點就在於這隻木馬會盜取你的帳號密碼，並且回傳給惡意使用者，以供下一次進行詐騙使用！而目前台灣的惡意使用者在取得帳號密碼後，在取得當下馬上篡改密碼及備用電子郵件帳戶。


▲ Foto病毒傳訊畫面。

釣魚手法騙取帳密
我們可以將釣魚手法大致上分為變型及隱藏，透過網域名稱進行釣魚手法者多數為變型，而應用於電子郵件的則多數為隱藏。以變型來舉例，facebook的網址為www.facebook.com，而釣魚手法中應用在網址列上常見的變型手法有[近似]及[延伸]。近似釣魚的成本相對較高，例如https://login.live.com/是正常的MSN登入網址，透過較常見的方法例如將login與live中間的點換成減號[-]來混淆視聽（例：login-live.com）。而延伸手法，則是利用人的惰性，檢查網址時，僅僅會看前面對不對，而忽略了真正的藏鏡人在後面，以下圖2為例來看，網址列上輸入的內容是https://login.live.com.gmit.com.tw/login.srf?wa=xxxxxx，若粗心大意的使用者一定是看到畫面二話不說的，馬上將帳號密碼資料輸入進去，接下來就會發現怎麼登入都沒有用，或者惡意使用者透過中間人的手法將資料轉導到正確的頁面去。


▲ 偽登入網站示意。

而針對釣魚的手法來說，以電子郵件的隱匿釣魚最多，主要的因素也是因為HTML的超連結語法可以讓表字與內容的惡意連結不同，讓不注意的使用者，很容易的就誤入陷阱之中，在登入前只要細心的檢查一下，甚至現在的釣魚網站都用了大量的頁面載入技術，在連入網站時就已經透過JavaScript或是ActionX將惡意程式載入記憶體中！


▲ 超連結內容與表面文字不同。

MSN社交工程取代電話詐騙
在網路普及率日益增加的台灣，網路詐騙也隨著電話相關的法令限制，紛紛轉往網路訊息軟體及社交網站中。當有受害者受騙上當後，隨之而來就是所有連絡人都紛紛收到惡意連結，但是現在的台灣MSN詐騙，已經不是取得電腦控制權或者只是帳號密碼如此單純！其背後真正的目的是進行財務相關的詐騙。自6月起，MSN網友拜託購買有價並可透過網路傳遞的財物，或是買遊戲點數(流程詳見圖5)，時有所聞，甚至而這些社交工程往往都與傳統電話詐騙相近，但這個事件也隨著網友們的受騙經驗分享而逐漸減少！


▲ MSN麥卡詐騙事件。

網路詐騙並沒有因為遊戲點數的手法被揭露而消失，緊跟而來的卻是更慎密的詐騙行為，由於網路上藉故要求購買東西容易被拒絕，也不容易引誘人上當。因此若將金錢的來源導往其它如拍賣網站，而MSN上的連絡人，即成為了驗證身份的資料來源，當然比要求買東西來得簡單，而此時在MSN的溝通行為對於詐騙集團而言，就變得簡單許多！而轉移的重點就在於拍賣市場的評價機制可灌水，也容易透過假資料即可申請帳號，但進行賣方驗證必須透過手機驗證（此方法稱為二路驗證2 Way Authentication），此時，手機號碼的來源就必需透過社交工程來騙取連絡人的手機進行驗證。當網路詐騙集團通過手機驗證之後，只需要於拍賣上開賣場進行詐騙，其詐騙成功的可能性及獲利亦比遊戲點數高了許多，因此拍賣市場就成了詐騙集團最好下手的對象！


▲ 詐騙購買遊戲點數流程。

第二路驗證大漏洞
目前的使用者驗證除了電子郵件以外，就是以手機簡訊發送，但是對於持有者的驗證及正確性則無從查證，原本所使用的帳號密碼，僅僅只能確認符合第一型驗證(Something you know;你所知)，為了提升其安全性，只要與金錢相關或是重要的相關資訊，會將驗證等級提升到第二型驗證(Something you have;你所持有)，多數的第二型驗證會以Token或是OTP(One-Time Password)等裝置進行驗證，而最後的第三型驗證即是生物認證(Something you are)，但因為第二型驗證所提到的兩種均屬於企業內部發行的驗證裝置，那麼在台灣有什麼東西是每個人都有，且可以提供做為驗證裝置呢？
手機是現在人必備的電子產品，尤其在台灣平均每人有1.17個門號，因此手機就成了台灣第二型驗證最佳工具了！透過手機號碼來接受簡訊，將系統的驗證密碼以簡訊型態傳遞到手機上，但在台灣的環境下這個驗證的路徑根本就無法判斷持有者是誰，因此網路詐騙即利用本項漏洞，大舉攻入拍賣市場，然而這個驗證只有要成為賣方時會進行一次驗證，爾後則不再重覆檢查。因此，當詐騙集團引誘上勾後，僅僅是為了不在網路商城、拍賣中留下直接證據，而詐騙電話號碼以供驗證，若不幸已將自已的電話號碼外洩，那麼你就有可能成為無辜的共犯，雖經過調查即可還你清白，但調查期間必須舉證所浪費的時間及資源，是大家都不願意造成的損傷，若你已經受騙上當應立即報警請警方協助處理以保障自身權益。


▲ 詐騙購取得手機驗證流程。

目前的二路驗證除了手機以外，難道沒有其它的驗證路徑了嗎？以中華電信為例，在手機的SIM卡上有一組序號，此號碼在卡片出場前就已經登錄到系統中，而必須對手機持有者驗證時，則必須在系統中輸入SIM卡序號，再由系統進行檢查確認SIM卡序號、電話號碼、身份證字號等資訊正確無誤，即可判斷為持有者本人，但狹義的來說，這個例子還是僅僅只適用於電信公司。
目前既然無法求證持有者的身份，那麼該如何進行第二路驗證呢？這課題則變成法律與隱私的拉鋸。以國外為例，有所謂的信用卡驗證，每當必須驗證身份時，使用者必須將信用卡相關資訊登錄到網站中，此時會先進行小額的扣款，系統會在扣款成功後也會將該款項刷退，以此建立信用機制。而台灣目前可以拿來做為身份驗證，且實施最有效果的自然人憑證，確也因為只能成為國內市場的驗證，而不被網路商城、拍賣所採用實在可惜！
若驗證時可以再加強手機驗證的強度，則可讓使用者更加放心。例如由網路商城、拍賣業者主動的與電信商建置一個身份驗證平台，必須提供手機持有者欲可驗證的項目(例如：生日、姓名、身份證字號)及電話號碼，而系統只需要回應驗證是否通過，來達成安全的把關，而網路詐騙時若需要提供這麼敏感的資訊，也可以大幅降低受騙上當的機率。

▲ 手機安全驗證流程。

由上述例子可得知，網路詐騙目標已轉往較不注意的個人周邊資訊，且可以被利用為驗證身份的各種方式及其漏洞，一定是網路詐騙接下來的目標，如何不成為詐騙集團眼中的肥羊，恐怕要小心每一個連結、每一個簡訊了！

防堵詐騙人人有責
最常見的網路詐騙除了電子郵件以外，就是MSN收到英文訊息寫著[Do you see your sister in this picture?]，接下來就有一個壓縮檔要傳遞給你，但是這個是以科技的手法。而非IT的手法最常見的就是社交工程，一般都已經是取得帳號密碼偽裝你的好友，要求你幫忙處理事情或代為購買東西，其特徵非常的明顯。因此若有發現到後來是要你從錢包裡掏出錢來去買東西，那麼十之八九都是詐騙行為。
目前更常見的除了買點數卡以外，就是假藉麻煩你幫忙衝Blog的人氣或是幫朋友投票，而這個連結看起來一定長得和正常網址相似，那麼怎麼去判斷這個網址是不是善意的，有幾個方法可以檢查。首先既然是要輸入帳號密碼，那麼一定會以SSL來保護登入資訊的安全性，若在頁面上未看到正確的憑證資訊或是未有使用SSL，那麼這個網站一定是惡意！再者，為了保全機密性，現在登入頁不使用SSL真是少之又少，若真的不小心的將密碼輸入了，才意識到被釣魚成功了，那麼先找一台乾淨的電腦將已登入的密碼置換掉以避免造成問題。
MIS如何保護End-User
中小企業中對於網路防護的設備中最常常見的就是防火牆，但對目前的各種網路詐騙行為透過科技的處理方法，可以透過第七層(Application Layer)防火牆設備來進行保護。由於此類型的攻擊多數都是透過下載檔案或是傳遞有害連結來達成目標，因此具有內容過濾(Content Filter)或是加強DNS安全的相關設施來進行保護，放眼網路目前所應用的詐騙手法都是老到不能再老的方法，僅僅是透過組合包裝成為一種新的攻擊路徑。
以木桶理論來看，只要員工有一個人對於安全是無知的，那麼這位員工因不注意而遭到危害，很快的，馬上災情就在內部傳遞開來！所以可透過定期對員工進行安全講席，並且主動的宣達正在流行的詐騙行為。除此之外，透過各種系統的應用(例如：Hosts檔、本機防火牆、防毒軟體)來進行防護，做好實體區隔並儘量達成縱深防禦(Layered Defense)，也是可以將災情限制於特定區域中。雖說以上建議都是老生常談，但是能真正落實的企業確是少之又少，只要每項做到60分至少可以將災難發生的機率降低到80%。

謹記凡事驗證的精神
隨著網路科技的發達，人的溝通模式進化，由原本的面對面一直到聲音，最後是透過文字，經由透過網路傳遞文字、聲音、影像，達到溝通的目的，而詐騙行為也因為電話限制，慢慢的將角度由原本的電話轉到網路上，也隨著信賴及使用者的認知問題，而讓詐騙集團在網路上找到空隙，而本文的重點在於如何防範網路詐騙，尤其是透過MSN達成詐騙行為，以及驗證問題造成資訊安全的機密性、一致性及可用性均全部喪失！尤其是在詐騙行為達成後，若只是金錢的損失，我們就當作一次學習經驗的費用，倘若延伸出來的是法律問題呢？恐怕就得不償失了！希望在網路世界中，大家都能把持著每個人都不是真的，凡事要驗證的精神，那麼就可以讓自己倖免於被騙的窘境之中。