【什麼是社交工程?】
在資安宣導中常呼籲要注意社交工程攻擊,但是你知道什麼是「社交工程」嗎?
社交工程(social engineering)可說是一門操控人心的技術,透過人性的弱點,包含人與人之間的關係、好奇心、貪便宜等,進而獲取受害者的機敏資料或攻擊受害者的電腦相關裝置。
常見的社交工程攻擊手法,包含Email誘騙、詐騙電話簡訊、釣魚網站等。Email或電話簡訊誘騙最常見以具誘惑性的文字,引導受害者輸入機敏資料或點擊有問題的連結,例如:「你太太出軌唷!」、「帳戶異常登入,請更新會員資料」等字眼,受害者若未仔細思考判斷,很可能直接點擊攻擊者所給的惡意網址,並輸入個人資料或無意間下載木馬程式等。
另外,釣魚網站利用人的粗心,攻擊者仿造知名網頁,並以極相似的網址來混淆受害者。舉例來說:「TW.BID.YAHOO.COM」與「TW.BlD.YAHO0.COM」,若不仔細觀察,很難發現兩者網址中英文字母「O」與數字「0」的差異,為了達到攻擊成效,假冒的網站常與真實網站十分相似,如果沒注意這點而點了仿造的網址,受害者可能會在假的網頁輸入個人機敏資料。
【該如何抵抗社交工程攻擊呢?】
1.安裝防毒軟體,定期更新
2.保持警覺心,開啟電子郵件前先三思
3.注意網址是否正確
4.不隨意下載不明附件
5.以純文字模式開啟電子郵件
最後建議,凡事養成再三確認的好習慣。