Hack、Scam、Breach、Leak:不慌不忙的資安英文

Hack、Scam、Breach、Leak:不慌不忙的資安英文

打開任何一個新聞動態,標題就糊成一團:hacked、breached、leaked、scammed。它們聽起來全是同一件可怕的事,正發生在某處某個人身上,就在此刻。這些字被用得如此鬆散,以至於一個忘掉的密碼和一場重大的資料竊取,最後可能用同一個字描述:「hacked」。

但這些字指向不同的問題,有著不同的成因和不同的解法。把它們分清楚,不只是精準的英文;它還幫你保持冷靜,因為對的字通常指向一個清楚、不誇張的回應。

有一個簡單的劃分能組織起整個主題。這些問題裡,有些針對機器:有人闖進一個系統,或資料從系統裡溢出。另一些針對人:有人被騙著把東西交出去。一旦你知道目標是一個系統還是一個人,你就已經走完通往對的字的大半路程了。

快速解答

hack 是一個鬆散、廣義的字,指闖入或竄改一個系統。breach 是對一個系統或其資料的未授權存取。leak 是資訊被曝光,常出於意外或來自內部。scam 是欺騙一個人的把戲,而 phishing 是一種特定的 scam,用假訊息來騙你交出資訊。要戒掉的大習慣:把什麼都叫做「hacked」。

關鍵字

  • Hack(駭 / 入侵)。 廣義又鬆散。它可以指闖入一個系統,或更隨意地,任何聰明的小技巧("a life hack")。在資安新聞裡,它通常指某種未授權的入侵或竄改,但很含糊。
  • Breach(入侵 / 資安事件)。 對一個系統或其資料的未授權存取。某人或某物進到了不該進的地方。「a data breach」指受保護的資料在未經許可下被觸及。
  • Leak(外洩)。 資訊跑出來並被曝光,常是意外或來自內部,不一定是攻擊者闖進來。一個設錯的設定,或一次不小心的分享,都可能造成 leak。
  • Scam(詐騙)。 一個騙人交出金錢、資料或存取權的局。目標是一個人的信任,而非一個系統的防禦。
  • Phishing(網路釣魚)。 一種特定的 scam:假訊息(電子郵件、簡訊)偽裝成可信任的對象,騙你點擊、登入或交出資訊。
  • Malware(惡意軟體)。 有害的軟體(病毒之類),設計來破壞或接管一台裝置。問題是一個壞程式在跑,不是某人當下在騙你。
  • Compromised(被攻陷 / 失控)。 一個更冷靜、更廣義的字,指一個帳號或系統不再完全處於正確的人的掌控之下。當你還不確定究竟發生了什麼時很好用。

常見陷阱

最大的陷阱,是把 hacked 用在每件事上。人們在被騙著把密碼打進一個假頁面時說「I got hacked」(那是 scam,具體是 phishing),或在一家公司不小心曝光一個檔案時這麼說(那是 leak),又或者只是忘了密碼時這麼說(那什麼都不是)。「Hacked」聽起來戲劇化,還把責任推給一個影影綽綽的攻擊者,即使真正的事件是一個日常的失誤或一場聰明的騙局。伸手去拿一個更精準的字,通常會指向一個更清楚的解法。

一個常見陷阱,是把 breachleak 混為一談。breach 關乎有人進來:未授權存取。leak 關乎資訊出去:曝光。成因很要緊。breach 通常意味著主動的入侵;leak 往往意味著一次意外、一個設定錯誤,或一個內部人分享了某個東西。同樣的資料被曝光,卻是不同的故事,也是不同的預防。

scamphishing 也常被搞混。phishing 是一種 scam,就是用假訊息來假冒你信任的某人的那種。所有 phishing 都是 scam;但不是所有 scam 都是 phishing。如果一封假電子郵件假裝是你的銀行,要你「驗證」你的登入,那是 phishing。scam 是欺騙這個更廣的類別。

另一個安靜的陷阱:scam 和 phishing 針對的是,而 breach 針對的是系統。當你被騙著交出一個密碼,沒有任何防火牆被攻破;被攻破的是你的信任。這正是為什麼「I was hacked」常常是錯的框架。沒有人闖進來。你是被騙了。說「I fell for a phishing message」既更準確,老實說,也比較不嚇人,因為它指向一個可以學會的習慣,而不是一個擋不住的入侵者。

如果你真的不確定發生了什麼,有一個優雅、誠實的字:compromised。說「my account was compromised」只主張它滑出了你的掌控,而不假裝你知道那是 phishing、breach,還是一個重複使用的密碼。它是適合那段迷霧般早期時刻的負責任用字,遠勝於伸手去拿「hacked」、編造一個反派。一旦你弄清楚它是怎麼發生的,就可以換上那個精準的詞。

malware 跟其餘的分開也值得。malware 是一個在裝置上跑的壞程式。它可以透過一場 scam 抵達(你被騙著安裝它),或透過一場 breach(一個攻擊者把它放進去),但 malware 本身是那個有害的軟體,不是那場騙局或那次入侵。所以「my computer has malware」描述的是當下的狀態,而「I got phished」描述的是它可能怎麼開始的。兩個不同的句子,對應故事裡兩個不同的部分。

最後,保持冷靜的語氣。新聞寫作愛用警報。精準的字會洩掉恐慌,因為每個特定的字都暗示一個特定、可掌控的回應。「I was hacked」邀請無助感;有一個神祕的攻擊者,而你什麼都做不了。「I fell for a phishing message」直直指向一個你能改變的習慣:放慢、檢查寄件人、永遠不要從連結登入。精準的字不只更準確,它更有用,因為它告訴你下一步該做什麼。

自然與不自然的例子

不自然: I got hacked, I clicked a fake email and typed my password.

自然: I fell for a phishing email and entered my password on a fake page.

較不自然: The company was hacked, they accidentally left a file public.

更好: The company had a data leak, a file was accidentally left public.

不自然: Someone hacked my account by guessing nothing; I just forgot my password.

自然: I didn't get hacked, I just forgot my password and reset it.

不自然: It's a breach, a stranger phoned me and tricked me into paying.

自然: It's a scam, a stranger phoned me and tricked me into paying.

迷你對照表

Word 它暗示的 更精準的意思
hack 戲劇化的入侵 廣義、鬆散,指闖入或竄改
breach 任何壞事件 對一個系統或其資料的未授權存取
leak 一場蓄意的攻擊 資訊被曝光,常出於意外或內部人
scam 一個系統被攻破 騙一個人交出金錢、資料或存取權
phishing 和任何 scam 一樣 一種用假訊息來騙你的特定 scam

快速練習

為每個事件指出最合適的字。答案在後。

  1. A fake message pretending to be your delivery company, asking you to log in.
  2. An attacker gets into a database they had no permission to access.
  3. A staff member accidentally posts an internal file where the public can see it.
  4. A caller pretends to be tech support and convinces you to send money.
  5. The vague, overused word people reach for when any of the above happens.

答案:

  1. phishing
  2. breach
  3. leak
  4. scam
  5. hack (often the wrong, overbroad choice)

重點帶走

資安標題把一切壓成一個字,但真實的事件各不相同,而這些差別很要緊。breach 是有人進來;leak 是資訊出去;scam 是一個人被騙;phishing 是那種騙局的假訊息版本。「Hacked」是那個包山包海的字,掩蓋了究竟是哪一個真的發生了。挑那個精準的字,尤其在出狀況時,兩件好事就會跟著來:你的英文變得更銳利,而那個處境感覺起來不再像一場災難,而更像一個有清楚名字、也有清楚解法的問題。