什麼是社交工程?

前言:

        在現代,由於通訊及網路設備的普及,幾乎人人都有智慧型手機,隨時隨地都可上網。這些科技的進步為世界帶來許多便利,這也衍伸出許許多多資訊安全的問題,而在這樣資訊爆炸的環境也助長駭客的成長,他們會利用各式各樣的技術或手法來達成他們想要的目的,今天就要來介紹其中一樣攻擊手法——社交工程。

什麼是社交工程:

社交工程就是,利用人們的心理活動,誘使人們進行某些操作,以達到竊取資訊或是植入惡意軟體等等的目的,例如:在路上撿到一個隨身碟,裡面可能就包含有惡意程式,當你因為好奇裡面有什麼檔案而插入電腦並點開時,你的電腦可能就被植入惡意程式,這將會導致電腦中的資料被竊取,甚至是電腦被有心人士控制。

社交工程的攻擊手法層出不窮,常見的攻擊手法包含:

  1. 假冒正常網站:有心人士利用知名網站,並製造出與其網站相似的內容,讓使用者難辨真偽,例如 www.yahoo.com 變成 www.yαhoo.com,如果不仔細觀察的話很難發現區別,如果使用者不小心進入到假冒的網站,並且輸入登入資訊,那麼不法人士就取得了使用者的帳號密碼,如果是銀行帳戶的話,他將可以把使用者的金錢盜領一空。
  2. 惡意廣告:現在的網頁中充斥著各式各樣的廣告,這些廣告中也是有著真真假假,其中廣為人知的惡意廣告可能就是「恭喜中獎!恭喜您抽中XXXX」這類的廣告,如果你點擊並填寫姓名手機電子郵件的話,他們就能取得個資,並透過各種方式對你進行詐騙。
  3. 釣魚郵件:不法人士透過偽裝成各式各樣的電子郵件,例如:社群推播、公司內部訊息等等,誘使使用者點開電子郵件並點擊連結或下載附件,這將會觸發駭客潛藏的惡意程式並自動下載到使用者的裝置中,這些惡意程式可能會竊取裝置內資料或是側錄設備的使用過程,這樣駭客就能取得使用者的各式敏感資訊進行下一步的攻擊。
  4. 魚叉式攻擊:前面說到釣魚郵件通常是撒網捕魚的類型,誰上鉤就攻擊誰,魚叉式則不同,他具有高度針對性,其對象通常是某個機構,目的與釣魚郵件一樣,誘使使用者點擊電子郵件中的連結或是下載附件,以達到竊取資料或植入惡意程式的目的。
  5. 商業電子郵件詐騙(BEC詐騙):又稱變臉詐騙,通常從歹徒入侵高階主管郵件帳號或合作廠商帳號做為起點。通常是經由鍵盤側錄的惡意程式或式網路釣魚取得,歹徒將會建立高度仿真的公司內部或相關企業的電子郵件,誘騙目標提供資料。入侵電子郵件後,歹徒將監控並試圖找出轉帳或是要求轉帳的對象,並發送偽造的電子郵件要求匯款至歹徒控制的銀行帳戶中。

如何防範社交工程攻擊:

社交工程攻擊通常都是透過網站或是電子郵件,並且利用人性的弱點進行詐騙,所以如果要防止受到攻擊,要從人身上做起防護:

  1. 不要點擊來路不明的連結
  2. 不要直接開啟郵件內的附件,須先由防毒軟體掃描後,確保無惡意程式後再進行開啟。
  3. 不要直接點擊郵件內的連結,如果有連結需要操作,應透過其他管道連線正確官網確認後再進行操作。

By Dennis