勒索軟件 的演變 (黑客現在的目標是互聯網 連接的「貞操帶」,美國財政 部對贖金支付的警告以及受 害者應該考慮的法律問題)

網絡安全最新情況:勒索軟件的演變 (黑客現在的目標是互聯網連接的「貞操帶」,美國財政部對贖金支付的警告以及受害者應該考慮的法律問題)

「勒索軟件在網絡犯罪中是獨一無二的,因為為了使攻擊成功,該等軟件要求受害者在事後自願成為共犯」

- James Scott

勒索軟件,我是什麼?

勒索軟件是一種惡意軟件,它可以阻斷用戶對自己設備的訪問,以期向目標受害者勒索錢財。早在上世紀80年代,勒索軟件就首次亮相,當時1989年世界衛生組織愛滋病會議的與會者使用的一些電腦被一種封鎖病毒感染。

進入2000年代 —— 勒索時代

到了本世紀初,互聯網的普及擴大了勒索軟件的傳播。在這個時代,勒索軟件的形式是彈出帶有災難性錯誤信息的窗口,指示終端用戶下載某些軟件(原來是木馬病毒)以修復問題。當用戶點擊通常伴隨著這種彈出信息的「立即修復」按鈕時,他們無意中被誘導下載了真正的病毒。

隨著時間的推移,隨著勒索軟件攻擊的發展和變得越來越複雜,這些軟件病毒傷害受害者日常生活的能力也越來越强。自20世紀80年代以來,隨著我們人類生存的越來越多的部分被數字化,像WannaCry這樣的大規模勒索軟件攻擊被認為已經給受害者造成了價值不低於40億美元的經濟損失。

2020: 勒索軟件鎖定互聯網連接的「貞操帶」

與鎖定/失去對自己身體的控制相比,鎖定電腦(可能造成不便)根本不算什麽。

最近,當使用連接互聯網的「貞操帶」的用戶發現自己處於一種不舒服的境地時,這種擔心就變成了現實,因為黑客找到了一種方法,利用「貞操帶」的應用程式編程接口(「API」),鎖定了用戶對其設備的控制權。據報道,一些用戶在被黑客攻擊時一直佩戴著這種設備,因此這種攻擊是很可怕的。

據報道,一旦建立起黑客對設備的控制權,用戶就會收到贖金訊息,要求支付0.02比特幣(當時約750美元),否則,「貞操帶」(如果當時正在使用)將繼續被鎖定。

你的【加入身體部位】現在是我的了......」

- 黑客給受害者的訊息

失去對自己身體任何部位的控制權的想法,很可能使任何受害者感到恐懼,從而屈服於黑客的要求。

黑客的刑事責任

毫無疑問,策劃勒索軟件攻擊是違反《盜竊罪條例》(第210章)第23條(例如以勒索的形式),也可能違反《刑事罪行條例》(第200章)第60條(例如損壞財產 – 鎖定「貞操帶」不是正常的的功能)。

此外,未經授權侵入「貞操帶」的操作系統也違反了《電信條例》(第106章)第27A條。

「任何人藉着電訊,明知而致使電腦執行任何功能,從而在未獲授權下取用該電腦所保有的任何程式或數據,即屬犯罪」

敲詐勒索等犯罪,最高可判處監禁。網絡犯罪是一件很嚴重的事情!

受害者是否應該付出金錢?

雖然許多受害者可能會覺得有必要簡單地支付金錢以獲得自由,但受害者應該被提醒的是:不能保證網絡犯罪分子(他們已經犯下了罪行)會履行他們的承諾。

例如,WannaCry病毒的受害者已經痛定思痛,有的時候網絡犯罪分子根本不屑於在其惡意軟件中建立釋放機制,他們在收到款項後就會逃跑消失。

此外,應該指出的是,僅僅支付贖金的行為本身就可能是非法的,並會給這些受害者帶來刑事責任。

《聯合國(反恐怖主義措施)條例》(第575章)(《反恐條例》)

今年早些時候,美國財政部宣布,美國公司如果向受制裁的黑客支付贖金,可能會受到懲罰。這一打擊措施是針對日益增長的 「顧問」市場而做出的,這些顧問會幫助受影響的機構向網絡犯罪分子支付費用。值得注意的是,香港其實已經以《反恐條例》的形式存在類似的法律框架:

任何人不得在下述情況以任何方法直接或間接提供或籌集財產:  

(a)懷有將該財產的全部或部分用於作出一項或多於一項恐怖主義行為的意圖(不論該財產實際上有否被如此使用);或

(b)知道該財產的全部或部分將會用於作出一項或多於一項恐怖主義行為(不論該財產實際上有否被如此使用)。」

-《反恐條例》第7條

雖然可以理解為何被囚禁在「貞操帶」黑客入侵的惶恐受害者可能只想支付贖金就能獲得自由,但他們也應該注意不要觸犯法律。

結語

因此,如果你已經被勒索,請時刻記住:

  1. 支付贖金並不能解決你的問題:勒索軟件可能沒有編程的「釋放」機制,他們可以直接拿了你的錢就跑。
  2. 打電話給急救人員尋求幫助:(i)這是合法的,(ii)急救室有設備可以把勒索軟件切開以獲得自由;及
  3. 注意網絡安全:不要認為單單因一個設備可以連接到互聯網,就意味著應該這樣做。如果你這樣做,至少要確保連接是設有防火墻和受保護的。
Jurisdictions

香港事務律師

朱喬華是一個香港事務律師,專注於訴訟和另類排解糾紛程序。

他的經驗包括在香港首宗涉及加密貨幣的訴訟中代表成功的一方,以及在世界貿易組織政府採購協議下代表醫療保健行業在審查機構面前挑戰政府的招標結果。

在成為律師之前,朱律師曾在醫療行業工作,擔任私立醫院的資訊科技部門主管並監督採購業務。

柯伍陳律師事務所合夥人