在數碼的人工智能年代,電話另一邊的聲音可能並非你所認識的那人,但在一世紀前機械化的年代,聲音卻相對可信,不過道高一尺魔高一丈,早在1915年已經有人份盜竊,並利用當時複雜的技術對銀行詐騙,然後被拍成法國無聲電影《Les Vampires》。
《Les Vampires》
電影《Les Vampires》講述主角記者Philippe Guerande面對一群自稱「Vampires」的膽大包天犯罪份子,雖然電影年代久遠,但在資訊安全方面有很多值得參考的地方,Vampires因為使用當時的高科技方法而引起人們的興趣,例如有關於加密的內容,以及複製他人身份的故事。
1915年的身份盜竊
犯罪份子Vampires知道美國大亨George Baldwin正在巴黎旅遊,所以準備從他身上拿一點錢,為了達到目的展開了分為數階段的攻擊,首先安排為這位富翁進行一次訪問,偽裝成記者請Baldwin在筆記本上寫上幾個字,然後簽名並加上日期,然後一位推銷員到訪並向他推銷留聲機(第一部錄播聲音的裝置),訛稱公司政策是為到訪巴黎的名人錄音,在不虞有詐之下口述了唯一能用法語發音的短語。
然後整個詐騙程序便曝露於觀眾眼前,第一階段的目的是富豪的簽名,利用「過底紙」偷取簽名和日期,然後在上面寫上向銀行發出的付款單,向偽裝的記者支付10萬美元。然後他們綁架了Baldwin入住酒店的電話操作員,再派另一名伙伴把字條帶到公司,聲稱生病並由表親接手工作,而酒店的管理層輕易受騙並容許完全陌生的人操作電話,同時間假記者帶著假付款單到銀行,出納員決定檢查真偽並至電Baldwin入住的酒店,這時候冒充的電話操作員播放富翁較早前的錄音,令出納員信以為真。
真實的可行性
電影橋段當然有虛構的部份,例如在1915年的美國銀行內有巴黎出納員知道富翁的簽名及聲音,而且當年的電話線會令聲音出現扭曲而無法辨認,不過整個犯案過程就是一宗Man-in-the-Middle(MitM)中間人攻擊,出納員確定聲音屬於Baldwin,而沒想過他事先已被他人錄音。此外,簽名程聲音確定就是現代流行的2FA雙重認證概代,現在當然是利用數碼技術,但其背後的核心攻擊橋段相同,而主要的對策可能在一世紀前已經制定:
- 不要讓外來人士存取通訊頻道
- 不要與任何人分享機密的個人資料
- 有懷疑時再小金檢查指示的合法性
資料來源:Kaspersky Blog
