盡可能避免支付贖金要求。當你別無選擇時,請遵循本文建議來獲取加密貨幣並執行交易。
文/Dan Swinhoe‧譯/酷魯
針對遭受勒索軟體攻擊的公司,世界各地的執法機構莫不建議千萬不要支付贖金。除了犯罪份子拿了錢之後跑掉的風險之外,付錢了事難免會有鼓勵駭客進一步攻擊之嫌,而且這可能是非法的,這全看錢寄到哪裡而定。
美國財政部旗下外國資產管制辦公室(Office of Foreign Assets Control, OFAC)最近警告說,支付勒索軟體無異是冒著違反政府對網路犯罪集團或國家資助駭客所實施經濟制裁的風險。
然而,一旦陷入困境時,一些公司可能會覺得他們別無選擇,只能向犯罪份子支付他們要求的費用。事實上,勒索軟體攻擊極具破壞性且代價高昂(無論你是否付錢給犯罪份子以便恢復對加密鎖住系統的正常存取權限都是一樣的)。
付錢給網路犯罪份子通常是透過比特幣(Bitcoin)等加密貨幣完成的,這些加密貨幣需要經由交易所開挖或購買,接著在轉帳給接收方之前先儲存到錢包中。本著幫你做最壞打算的精神,以下會分段介紹購買比特幣的簡要指南。
在哪裡以及如何購買比特幣(和其他加密貨幣)
除非你打算自己挖礦,不然你多半會想透過交易所購買加密貨幣。像Coinbase之類的法幣對加密貨幣交易所(Fiat-to-Crypto Exchange)是購買比特幣的最佳場所,在那裡你可以用真實貨幣交易加密貨幣。如果你已經擁有加密貨幣,但需要將其兌換成另一種類型的加密貨幣,例如比特幣換以太坊(Ethereum),那麼像幣安(Binance)這樣的加密貨幣交易所(Crypto-to-Crypto Exchange)可能更合適。
從交易所購買加密貨幣是一個簡單的過程,可以使用信用卡或銀行轉帳等慣常銀行業務方式來完成。只需決定你要購買的貨幣類型、數量,然後買入即可。接著所買貨幣就會轉進你的交易帳號中。
在交易所進行加密貨幣的購買、交易和轉帳時可能會產生費用,而且不同交易所的加密貨幣價值會有所不同,因為沒有可以決定匯率的單一來源。
受監管的交易所將要求你註冊,以幫助避免涉入有關洗錢法規的問題。根據交易所的不同,轉帳可能需要一段時間處理。在時間緊迫的情況下,務必注意從交易所獲取加密貨幣的所需時間要多久。
美國加密貨幣交易所Kraken安全長(CSO) Nick Percoco 表示,資安長(CISO)應該尋求一些明顯能配置大量安全資源的交易所。
「如果他們不為這些事情揚聲歡呼,你就不能相信他們是安全的,」他說。「網路安全是一個發展速度太快的領域,以致無法從表面判斷一切。」
「例如,公司應該定期對自己的系統進行『滲透測試』,為系統級和資料級加密提供嚴格的存取控制,並為其伺服器創建一個實體安全的環境。」
提醒的話:不建議在交易所持有加密貨幣。「曾被駭客竊取超過60萬枚比特幣的日本東京 Mt. Gox 比特幣交易所,對於任何在交易所從事比特幣投機交易的人來說,絕對是個足以警世的故事,」雲端託管ERP服務供應商Syntax資安長 Matthew Rogers 表示。「貨幣投機是一個高風險的舉動,所以很多公司都有規定禁止這樣的高風險投資。我不建議公司購買和持有加密貨幣,以免淪為勒索事件的受害者。」
較佳的做法就是將你新買的資產從交易所轉移到個人錢包裡。
比特幣(和其他加密貨幣)可儲存的地方
加密貨幣保存在錢包中,亦即保存你公鑰和私鑰的程式。錢包允許你發送和接收付款、顯示餘額,並與不同的區塊鏈進行互動。
公鑰是交易存入和提取的指定位置,幾乎就像銀行帳號一樣。這些通常採用26到35個隨機英數字元的形式。
私鑰更像是能讓貨幣從錢包移轉而出的密碼。錢包上的私鑰很重要。一旦丟失私鑰,你的錢包將無法存取,裡面的一切也將完全丟失。如果你的私鑰被盜,你勢將面臨加密貨幣被盜的風險。有些錢包會創建一個包含一組單字的安全「助記詞」(seed phrase),即使你丟失了密鑰,你仍然可以透過助記詞來解鎖錢包。
當前有不同類型的錢包,分別適用於不同用途:冷錢包屬於離線式硬體錢包,通常採USB隨身碟的形式,只能透過實體方式來存取。
他們比線上錢包更安全,但缺乏備援機制,一旦硬體USB令牌丟失會使得錢包無法存取。
熱錢包屬於線上錢包,通常透過雲端服務或行動App連接到網際網路,因而更容易存取。PayPal最近與區塊鏈基礎設施平台Paxos合作,讓美國用戶可以直接在PayPal數位錢包中購買、持有和出售加密貨幣(最初以比特幣、以太坊、比特幣現金和萊特幣為主)。該公司表示,其計劃在2021年將這些功能擴展到旗下Venmo行動支付平台和國際市場上。
提醒的話:雖然線上錢包更具連接性且更具使用者親和度,但它也存在更易遭致攻擊者劫持的風險。
Rogers表示,降低加密貨幣的進入門檻可能會進一步鼓勵威脅發動者。「讓贖金的支付變得更容易,可以降低駭客索求贖金的要求。它還將使個人成為勒索軟體攻擊的目標,而不僅僅是我們常常看到的企業。這對產業界來說可能是個壞消息,並可能導致更多勒索軟體攻擊更廣泛的人和企業。」
與其他重要系統一樣,像是定期備份、多因素身分認證(Multi-Factor Authentication, MFA)、加密硬體,以及在傳輸時所使用的VPN,都是減少被劫持可能的可行之道。甚至擁有多個錢包來分散風險也是非常值得的做法。
「確保錢包安全的最佳解決方案是將你的密鑰保存在一個非實體存取不可,否則絕對無法到達的安全所在。在這種情況下,網路安全和實體安全可以良好地協同運作,」Rogers表示。即使使用離線錢包,你錢包裡的公鑰、內容和支付歷史紀錄也將保存到相關區塊鏈上,如此一來便可在該鏈上公開存取。
使用加密貨幣付款
如果我們不藉此機會再次強調,你應該盡可能避免付錢給勒索軟體發動者,那我們就失職了。最好不過的就是擁有可以避免感染勒索軟體之更新修補過的系統和具有安全意識的員工,以及在一旦災難發生之際可以使用的可靠且經良好測試的備份機制。
但如果發生了最壞的情況,那麼備份就不再是可行的選項,而且需要付款了事,這個過程反而相對簡單。
若要付款,請選擇要發送的金額,然後在發送付款選項下將收款人的錢包地址(通常是勒索信中定義的字串或二維條碼形式)輸入到你的錢包中。如果你的加密資產儲存在交易所,事實上交易所通常也有上述類似的功能,但可能會有費用的產生。與從交易所購買或交易加密貨幣一樣,根據涉及的貨幣類型和區塊鏈,這個過程可能需要時間來清算。
你需要的有關付款資訊通常會包含在勒索信中,而且許多犯罪份子現在都有線上客服系統來協助付款和談判。
使用加密貨幣進行的交易會以公共紀錄的形式儲存在相關區塊鏈上,一些安全公司提供追蹤服務,可能會追蹤你付款的最終去向。雖然追回損失的資產可能很困難,但若知道你付款的去向,對於試圖防止威脅發動者變現的安全公司或執法部門來說絕對是有用的資訊。
持有加密貨幣時需要考慮的事項
各國有關加密貨幣的法律各不相同,有些法律會要求你必須透過與其他資產相同的方式申報加密貨幣資產。希望購買比特幣或其他加密貨幣的組織,應確保其法律和財務部門了解這些類型資產的風險和法規遵循要求,並製定明確的責任界限來確定加密資產的所有權。
「根據不同的政策和法律,比特幣交易可以被視為洗錢,」Rogers警告說。「這是內部人士將大筆資金轉移到一項不可阻擋的交易中,然後再流出公司的絕佳方法。由於這個原因,美國聯邦政府已經顯露出讓支付贖金變困難的興趣。」
制定明確且經過測試的事件回應計畫也是明智的,這包括了確認主要利害關係人、建立付款流程、決定是否與攻擊者談判或討價還價,以及驗證攻擊者是否擁有解密密鑰等事項。不論你是否計劃與第三方(如經紀人或網路保險公司)合作,都應納進你的計畫之中。
「在網路安全事件中,擁有一名確定的經紀人,可能有助於支付贖金,」Rogers表示。「你的網路保險應包括運用這樣的經紀人作為索賠的一部分。儘早制定某種形式的計畫,可以讓你在周末向威脅發動者支付贖金,即使你不在辦公室。無論你的計畫是什麼,都必須能夠在周末/假日執行,我們認為就是因為IT和安全團隊不在辦公室,才會形成常見的攻擊空窗期。」
Rogers警告指出,任何在遭遇勒索軟體攻擊之際還在囤積加密貨幣的人都是「瘋狂的」,因此花時間進行預防是勢在必行的。「準備因應勒索軟體攻擊的更好方法就是,制定全面性到位的雲端備份策略,如此一來,一旦你的系統離線,你將能夠及時恢復上線狀態,並有可能完全免掉贖金的支付。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)