1. 首页
  2. 资讯库

近期几起资安事件之风险防患讨论

夜晚的沁凉总算在这几日逐渐出现,跟队友相约边走路健身,当然也免不了找些话题来聊聊。

于是忽然冒出了这一个话题的讨论:

https://matters.news/@jerome/twitter-发生的重大信息安全事件-bafyreidar7r6geimwv727fth4khkbtolv5rkrqlkciqwurghwwpadcuphq

主要还有近期另一个也很严重的话题:

全球知名的导航与健身追踪设备制造品牌 Garmin 遭到勒索病毒攻击导致其云端服务停摆,甚至影响到工厂生产线生产。

以下是英文官网的声明:

 

 

 

的图片 第1张

以下是中文的声明:

 

 

 

的图片 第2张

其实发布的非常「含蓄」,基本上就试公关稿似的,让人看了也不知道到底是怎样?

那么,来看看科技媒体的「深入报导」:

https://www.theverge.com/2020/8/4/21353842/garmin-ransomware-attack-wearables-wastedlocker-evil-corp

(备注:不是不想转载中文信息,实在是遍览中文的相关报导,其实都蛮不深入的感觉,感觉就按照基本报导「标准格式」套用发布,实在看不出个究竟…)

目前大致可以整理出的信息:

  1. Garmin 已经付了约莫美元一千万元的赎金,换取让其系统恢复正常。
  2. 付款的方式是透过中介公司:Arete IR。(居然还有靠这个维生的公司?)
  3. 攻击自 7/23 开始,让 Garmin 的穿戴设备、APPs、网站及呼叫中心都终止服务。
  4. 受到影响的服务陆续自 7/27 逐步恢复。恢复初期用户均抱怨其数据无法顺利与云端做同步。(估计因为同时间所有之前中断的数据都开始与云端进行同步,导致服务中心处理拥塞产生不顺畅现象~)
  5. 据报导,攻击的勒索病毒为 WastedLocker。(下面可以见到 Garmin 内部流出的受影响计算机档案之附文件名都被加上的 GarminWasted 的字眼)这个病毒据了解是由俄罗斯黑客团体 Evil Corp 所释放出来。

 

先看看上述第5点提到的内部流出图片:

 

 

 

的图片 第3张

另外,中介公司 Arete IR 也透过 twitter(疑?)发布了一则相关勒索病毒说明:

 

 

 

的图片 第4张

事实上,与队友沟通过程中,我就想到了类似大公司肯定都有强大的法律顾问做了完全的「免则声明」。果不其然,看看 Garmin 的声明中有这一段:

 

 

 

的图片 第5张

所以呢,这次事件对所有用户的影响,公司本身都是免责的。


我们就此事件沟通中,就在讨论这个有意思的「现象」。由于过去工作使然,自己也担任过或负责过企业的 MIS 任务。而信息安全在不同产业、不同规模、不同阶段的企业中会有不同的作法,关键点除了 MIS 主管外,还有的是整个公司 CEO 甚至董事长的意识。这就类似开设了工厂,大家都会想到要做实物的财产保险,保护有形资产的意外损失。但是对于信息系统这偏向「看不到」的服务来说,很多企业会选择能省就省。而 MIS 部门向来也有点被当成没事的时候就被遗忘,编预算时优先做节约而砍预算的对象。于是当诸如此类事件发生后,才被外界发现怎么如此规模的公司居然连基本的备份与防御都如此脆弱呢?(背后的学问很多,但其实只要肯花预算,一定都有支付赎金之外的解决方式的~)

延伸讨论

除了上面的讨论外,我又提到了一个观察,在此也分享出来。

前几天在写关于 SpaceX 与 NASA 的文章,连结:

https://matters.news/@jerome/crew-dragon-航天员返回地球了-bafyreidm4l4n635h6ch4rgowh3skl7236fraktxhagvdj7c4cb7whdieee

这文章的资料就涉及 SpaceX 在 YouTube 上的直播连结,当时就发现居然旁边有 YouTube 做的相关影片推荐,推荐第一名,居然是个诈骗直播。

我原本是以为这么巧,我在想文章居然还遇到 Elon Musk(SpaceX 创始人)的直播,兴冲冲点进去看,才发现是个诈骗串流。很能想象一定有一些用户被此骗到。

更夸张的是,相关的诈骗手法,现在在 YouTube 上还是看得到,我截了两个图:

 

 

 

的图片 第6张

以上是诈骗信息

 

 

 

的图片 第7张

以上是诈骗信息

因为是诈骗信息,我就不把连结放上来,也希望尽快被抓到后取消。

这很简单的骗术,利用名人效应,告诉你可以转账 0.1 到 10 个比特币(BTC)到该假冒的名人账户后,就可以收到该名人回送给你 0.5 到 50 个比特币(BTC)。是不是很无脑的骗法?但是套上了名人与相关光环加持后,彷佛真的有这么一回事。


队友跟我讨论说,那如果被骗了,是不是就去找 twitter 或是 YouTube 求偿呢?事情当然没有那么简单,平台当然会有相关的「免责声明」,加上这是属于诈骗集团的行为,平台怎么可能代为支付?如果去找被利用的名人呢?我想名人更不可能淌这个浑水呀……

网络带来的便利自1990年代开始逐渐影响我们的生活,但当大家在五花八门的缤纷网络世界中遨游时,记得千万要明哲保身且千万提高警觉,别以为会有天上掉下来的馅饼,贪念往往就是诈骗者利用的支点,让受骗者自己说服了自己,深信骗术。

 

 

 

 

 

 

Jerome

原创文章,作者:清欢,如若转载,请注明出处:https://www.qinghuantea.com/suibi/12083.html

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息