經過一年的調查後,巴黎市主管機關最近逮捕了五名被懷疑是偷走 12 萬公升汽油和柴油的嫌犯。根據 Le Parisien 報導,這些罪犯使用從網路上買來的「Miracle Remote」,利用其駭入特定的 Total 加油站油槍品牌。而會遭到駭入,可能是因為部分加油站主管並未變更加油槍的預設 PIN 碼「0000」。這夥人輸入 PIN 碼取得存取權,然後重設燃油價格,並移除加滿的上限。
在這起犯罪中,這夥人開著兩輛車前往小型的隔離式加油站,其中一輛還在車後裝了一個大容量的空油桶。第一輛車內的人先到加油站,將加油槍解鎖後,接著帶著空油桶的第二輛車再開進加油站,然後偷走數千公升的汽油。該夥人甚至在社交媒體上向「客戶」推銷,告訴他們在特定的時間前往某處加油站,便能取得汽油。
Total 公司在 2018 年注意到了這個可疑的活動,並與主管機關合作展開調查。2018 年 4 月,法國警方在 Val-d’Oise Sagy 的一間 Total 加油站內逮到了一名持有該遙控裝置的男子。經過後續調查,警方最終找出五名男子,並於上週一加以逮捕。法國主管機關預估,該夥人從販售竊取的汽油中獲取了約 15 萬歐元 (168,000 美元) 的贓款。
加油槍為已知的資安風險
趨勢科技研究人員曾在 2015 年深入研究連線加油槍遭到攻擊的事件,當時有很多機器並不安全,這些加油槍的弱點和潛在的敏感資料點可輕易在網路上找到,包括儲油槽名稱、曾發出的指令、容量、高度、水,以及儲油槽溫度等。當時全世界共有 1,515 部暴露在外的連線加油槍監控裝置,這些裝置全都缺少安全措施,無法避免未經授權的實體存取。甚至有證據指出,有些裝置曾經遭到竄改。
後續的儲油槽監控系統調查指出,還有其他駭客活動在尋找暴露的儲油槽監控系統,提取與這些機器有關的資料。這類運作背後的動機因威脅攻擊者而異,但對這些系統的可能攻擊包括:惡作劇 (例如變更儲油槽標籤)、事前偵查 (尋找送油日程)、勒索 (封鎖業者的存取權,以敲詐特定金額),甚至是破壞 (調整儲油槽上限,使其溢出)。
加密智慧裝置
越來越多企業使用智慧裝置來管理及處理產品。世界各地的企業和城市的智慧與連網程度也逐年攀升,但隨著這些裝置的採用率不斷提高,安全措施也必須隨之進化。
包括從家用路由器到企業級設備,變更裝置上的預設密碼,是每位使用者都必須遵從的基本做法。正確的密碼用法,也包括使用強式密碼,或啟用雙重因素驗證。在基本公用設施的處理方面,還有其他智慧裝置應採取的資安考量。尤其關鍵產業的機器,像是公用設施和大眾運輸,特別需要實作資安政策,以保護其基礎設施。
資料來源: Thieves Stole 120,000 Liters of Fuel from Gas Stations That Used Default Passwords