區域法院上周審理一宗騙案,比特通創辦人涉嫌騙取一名投資者1,000比特幣。我看了多份報章,從不太統一的報道內容,整理出八卦以外,值得關注的一點。
案情相當簡單,事主2013年起投資比特幣,持有1,500比特幣,並於2017使用比特通Blcex出售比特幣,並於講座認識時任CEO的被告。被告以事主比特幣數量多,存放於冷錢包較安全為由,協助事主把1,000比特幣轉移到Trezor冷錢包。然而轉移後1,000比特幣卻不翼而飛,事主報案,後來警方在被告家中夾萬搜出可轉移事主資產的24英文字助記詞,並從區塊鏈紀錄追查到1,000比特幣是轉到被告擁有的錢包地址,且已經賣出180比特幣,套利668萬港元和58萬美元,分別存入被告的四個銀行賬號。
期望juicy內容的讀者大概失望,沒有高科技,沒有曲折離奇,只不過是非常簡單的社交工程。「橋唔怕舊,最緊要受」,相對於高科技破解,社交工程才是資訊安全中騙徒最常用的手法,或者至少是混合使用,騙一部份,駭一部份。日後有機會我們將再進一步討論24字助記詞的原理,但暫時,要了解這宗非常low tech的騙案,無需懂比特幣的原理,只需要將案中的關鍵,24字助記詞理解為鑰匙即可。人話說出來,這騙案不過是被告跟事主說:「你這麼多錢,放在銀包不安全,我幫你買個夾萬吧。」事主說:「哦,唔該!」然後把錢放進被告提供的夾萬並保存鑰匙,卻沒考慮到,被告事前就已經複製了一份鑰匙。
社交工程之所以常用,是因為這往往是最脆弱的一環。俗語說「機器是死的,人是生的」,一般是褒獎人類懂得變通,但說到資訊安全,「變通」正正是問題所在。對於機器,密碼不對就不能進,哪怕只差一丁點,即使已經努力了一萬次,甚至輸入密碼的就是持有者本人,結果都一樣。人就不同,假如你是守門人,當對方爛身爛世,或者態度惡劣,密碼給對了你都會格外懷疑,相反當對方形象討好,貌似可靠,很多人感覺舒服了,自然會不加思考把密碼雙手奉上,甚至補上一句「我最擅長睇人」。
說到駭客,一般人總是聯想穿hoodie戴帽子、油頭垢面、不善言辭但技術了得的宅男,實質上,身光頸靚,善於跟人打開話題,獲取信任的,即使對技術一竅不通,已經能騙到大量世間財,看過荷李活大片中,里安納度、佐治古尼等怎樣騙人就知。鑽研怎樣打開夾萬,還不如想辦法取信於鑰匙持有人。
這小新聞雖然毫不起眼,但牽涉的金額比很多轟動案件都要大,事主「女投資者」(好幾份報章都在投資者前加個「女」,強化其大媽形象)被騙1,000比特幣,今天市值超過一億港元,更別說事主還持有至少另外500比特幣。有趣的是,未知是記者寫法偏差還是法例使然,事主索償的是五千多萬港元,要是法庭真的判定賠償以港元計,卻又用上去年舊價,被告不妨馬上賠款了事,淨賺5,000萬。
案件中,不論是事主還是被告,讓人感嘆,香港高手在民間。一天到晚聽財演給冧巴,小打小鬧賺點差價的,建議不如去聽審,找機會問問事主下一浪看好甚麼。
撰文:高重建
地球人。信仰民主自由。創業者。LikeCoin、#decentralizehk 發起人。