"駭客"故事

前情提要

“駭客”講述：如何輕鬆地使用英國頂級高爾夫俱樂部的計算機網路打出一桿進洞的故事。

憑藉在警方網路犯罪和數字取證部門14 年的經驗，我現在審查和分析企業面臨的潛在網路威脅，這能夠了解犯罪駭客，有助於揭示他們的思維方式，從而為組織提供更好的保護。

在這一點上，我需要新增一點免責宣告。當我在迷人的英國鄉村，在這個美麗的球場開始我的冒險之旅前，俱樂部所有者授予我完全的訪問權和許可，可以去任何我想去的地方，做我想做的任何事情——當然，在合理的範圍內！

雖然我熟悉一個優質高爾夫球俱樂部的環境、行話和著裝，但我需要了解有關工作人員和這個俱樂部的一切知識，這時候 Google 就是你最好的朋友。憑藉我的線上調查結果和一些優質技術，我非常有信心可以在這個高爾夫場所玩得開心。

我決定冒充電視助理製片人，要求對一個新廣告進行偵察訪問，並要求拍一些照片向我的製片人報告。我提前一週給俱樂部打電話，告訴他們我的背景。業務發展經理接聽電話並且非常喜歡這個主意，興奮地邀請我在接下來的一週參觀俱樂部。

駭客的開始

我在一個陽光明媚的早晨到達球場，並在早上 9 點剛過就直接前往接待處，配備了我的膝上型電腦、USB 驅動器、數碼單反相機和一件值得信賴的記者夾克。在與那位業務發展經理會面後，我帶著相機走了一個小時，並拍了一些照片。

回來時，我給他看了照片，問我是否可以使用他們的私人 Wi-Fi，這樣更安全，並要求提供密碼，他們都給予提供。然後我聲稱忘記了一些需要簽署的檔案，所以我問他是否可以將我的 USB 驅動器插入他的計算機以列印一份授權書。他答應了，甚至說：“我通常不會讓我不認識的人這樣做，但因為是電視媒體，我會破例。”

就在那時，我目睹了真正的驚人的一幕，他們還在使用Windows XP！對該作業系統的支援於 2014 年停止，並且在連線到 Internet 時非常危險，所以在這個場地看到這一點讓我震驚甚至害怕。更糟糕的是，XP 執行在這個公共的機器上，他們的銷售點軟體已經打開了！由於所有財務和敏感資料都透過該裝置執行，如果它成為目標，將導致非常危險的結果。

我假裝我需要列印的檔案已從我的 USB 中丟失，我提出透過谷歌表單傳送一份虛假的預釋出表格，以便從他那裡獲取一些額外的個人資訊，以及他的一個密碼。他立即點選了這個連結並填寫了它。然後他接了一個電話，讓我可以完全訪問另外兩臺機器，沒有人看著我。

透過訪問 Wi-Fi 密碼、USB 驅動器以及無人監督的機器，我可以完成我能想到的任何漏洞利用。從在機器上安裝遠端訪問木馬或鍵盤記錄器，到在網路上放置其它惡意軟體（例如勒索軟體）以要求付款、解密資料，這都是駭客的樂趣！

讓自己的工作站無人監管和解鎖，在任何工作場所都是一種危險，特別是在公眾可以簡單地走進去並與其它安全失職相結合的位置時，讓我意識到有些企業在安全方面仍然遠遠落後。

當然，我實際上並沒有利用這家高爾夫俱樂部的網路，但吸取的教訓至關重要，而且嚴重性令人擔憂。我可以完全訪問網路上的個人、敏感和財務資料等資訊。如果受到損害，GDPR 對洩露此類個人資訊的罰款可能是災難性的。加入高爾夫俱樂部需要交出大量資訊，因此如果俱樂部丟失這些資料，後果將非常嚴重，而且受害者不止一個。

遊戲的結果