什麼是社交工程(Social Engineering)?
社交工程簡單來說就是詐騙,駭客利用人性的弱點來達到目的。社交工程常藉由近期熱門的議題引起目標興趣,無論是政治、運動、娛樂、名人八卦等事件,甚至是理財、投資及網路購物等皆可能是駭客使用的題材。利用目標害怕、貪心、好奇等心理,誘導使用者點擊相關內容,以此竊取使用者的帳號、密碼,或是散播惡意程式等。為擴大攻擊成果,駭客還會利用攻擊取得的帳號,再度攻擊其好友、上司、同事等目標,透過其熟識的關係,使被害人更容易取信相關內容,且將不斷重複此步驟,以達到最終的目的。
常見手法有哪些?
現今網路防護設備技術日新月異,防護力量亦是逐年提升,為突破防禦設備,社交工程往往是最容易進行的攻擊手法,利用人性來突破設備的防護。駭客在發動駭侵行動前,會先對目標進行深度調查,瞭解其相關資料,並針對性地進行一連串社交工程攻擊。其使用的媒介相當多元,手法也十分廣泛,其目的便是要誘導使用者點擊相關網址或打開檔案,以此達成攻擊的目的,這邊介紹幾種社交工程的常見手法:
1、社交工程電子郵件:藉由目標近期的購物、常關注的議題、商業合作案等,編撰目標感興趣的郵件內容,亦或是偽冒帳號管理員如facebook、google等寄送郵件,告知帳號被檢舉、盜用等內容(如下圖),誘騙使用者依駭客的指令操作電腦,例如點擊連結、安裝程式等,以取得目標帳號控制權。社交工程電子郵件亦有可能夾帶惡意附件,部分惡意程式會偽裝成office文件、pdf文件或圖片檔,並藉由時事議題、商業合約或色情圖片等目標感興趣的內容,讓使用者點擊該檔案,致使電腦感染惡意程式。
2、利用釣魚網頁誘騙隱私資料:釣魚網頁常搭配上述社交工程電子郵件,藉由與正確網址十分接近的假網址,以及幾乎與正常網站一模一樣的外觀,讓使用者輸入個人資料與帳號密碼,致使隱私資料外洩。釣魚網頁的網址可能是利用相似的字元做偽冒,如將數字的0變英文的O,或將英文小寫的l更改為數字1,以此來混淆目標判斷,如faceb00k、g00g1e等。另一種假網址是在網址中加入gov或edu等字串,使目標誤判為政府或教育網站,如近期大家手機常收到衛服部疫情補貼金的簡訊便是於網址中加入「gov」,以此偽冒衛福部網站。
3、彈出式廣告:於瀏覽網頁時,利用彈出式頁面跳出「您的電腦/手機中毒了」、「恭喜獲得一台 iPhone」等廣告,有時甚至會搭配讓手機持續震動,或讓目標無法返回上一頁的方式,增加目標緊張感,以此讓你安裝惡意之修補程式或填寫獲獎人資訊,以竊取使用者個人資訊。
以上只是簡單列舉常見手法,在實際的目標式攻擊中,駭客會利用更針對性的內容與手法,近期有部分Youtuber擁有幾十萬粉絲的Youtube頻道相繼被駭,並被修改頻道名稱直播詐騙內容。其手法就是透過社交工程郵件寄送假的工商合作邀約,邀請對方試用軟體、試玩遊戲,一旦頻道主安裝了軟體及遊戲,電腦便會被植入木馬病毒,竊取裝置內的Google登入憑證,以繞過Google二次驗證。取得帳號控制權後,駭客會將密碼、綁定之手機號碼及備用信箱全數更改,致使原帳號主人無法恢復帳號,並造成頻道鉅額損失。
ISO27001:2022的新對策
針對社交工程,在舊版ISO27001:2013透過A.13通訊安全要求組織妥善管制網路服務、網路存取政策;最近ASF團隊在解析ISO27001:2022的新增控制項過程中,則發現「網頁安全防護 (Web filtering)」這塊,特別要求管理對外部網站的存取,以減少對惡意內容的接觸,具體建議阻擋具資訊上傳功能的網站、封鎖已知或可疑的惡意網站、禁止存取具備命令與控制能力的伺服器、嚴禁分享非法資訊的網站等。這些要求若能貫徹執行,前述所提到利用釣魚網頁誘騙隱私資料、彈出式廣告等社交工程手段應能被有效克制。
資安意識的建立仍舊是重中之重
最後提醒,在駭侵行動中,駭客會無所不用其極地設法透由員工的疏忽,繞過防禦設備,侵入企業內部。企業的資安防護能量猶如一個木桶,木桶能裝的水量並非看最長的木板有多長,而是取決於最短的木板有多短,及使資安設備防護能力再強,只要有一個缺乏資安意識的員工,便能使其他防護功虧一簣。要防範社交工程,最重要的還是養成良好的資安意識:
1、不隨便點擊不明連結,即使是熟人分享的連結,也要再三查證是否為正確的網址。
2、每當輸入帳號密碼時,須再三確認網址是否正確。
3、不執行來路不明的應用程式,安裝執行前須再三查證檔案是否可信任。
4、下載的檔案需先利用防毒軟體掃描後再開啟。
5、天下沒有白吃的午餐,切勿因貪圖眼前的小利而喪失判斷力。
-艾斯飛利國際ISMS主任稽核員 Dan Lin
Comments