社會工程的原理為何?
大多數的社會工程攻擊需要攻擊者與受害者間進行實際溝通。攻擊者以誘騙的方式讓使用者配合,而非以暴力方式盜取資料,
犯罪人士也因此會建立有效的詐欺流程。社會工程攻擊的步驟通常如下:
1. 準備:收集您或您相關群體的背景資訊。
2. 滲透:建立關係或進行互動以獲取信任。
3. 詐騙受害者:在建立信任並了解弱點後即會進行攻擊。
4. 斷絕聯絡:使用者受騙並配合進行動作後即可斷絕聯絡。
此過程可以只透過一封電子郵件進行,或透過社群媒體持續幾個月的聊天進行,甚至可能是線下的實際互動,但最終都會需要您配合進行某些動作,例如:分享您的資訊或使接觸惡意軟體。
請務必要留意不要受到社會工程混淆視聽。許多員工和消費者並沒有意識到駭客只需要少量資訊就能存取很多網站和帳戶。
犯罪份子能假扮成使用者或 IT 協助人員詢問名字、出生日期或地址等私人詳細資料,有了這些資訊後,犯罪份子就很容易能重設密碼或獲得大量存取權限,並以其竊取金錢或散布社會工程惡意軟體等。
社會工程攻擊的特點
在社會工程攻擊中,攻擊者具有很高的說服力和自信,造成他人更有可能配合執行平常不會進行的動作。
在大部分的攻擊中,犯罪份子會誤導他人進行以下動作:
情緒高漲:攻擊者進行情緒操縱讓他人更容易配合進行動作。人們情緒處高漲時更有可能採取非理性或冒險的行動。以下情緒讓人們容易受到操縱。
- 恐懼
- 興奮
- 好奇
- 憤怒
- 內疚
- 悲傷
緊迫性:時間有限的機會或要求是攻擊者可使用的工具之一。人們可能會因為相信有嚴重問題需要立刻解決而受騙上當,或者相信獲得獎品或獎勵但如果不迅速採取行動就可能失去。無論如何,緊迫性能影響人們的判斷思考能力。
信任:可信度對於社會工程攻擊至關重要且不可或缺。攻擊者需要讓他們的謊言聽起來非常可信,因此他們會進行充足研究,以編造容易相信且不太可能引起懷疑的故事。
這些特點也有一些例外狀況。攻擊者在某些情況下會使用更簡單的社會工程手法來取得網路或電腦存取權限。例如,駭客可能經常造訪某大型辦公大樓對外開放的餐廳,並「偷窺」使用平板電腦或筆記型電腦的人員,如此一來即可獲得大量的密碼和使用者名稱而無需傳送電子郵件或編寫病毒程式。
在了解基本概念後,讓我們來看看社會工程攻擊的進行方式和辨識方法。
社會工程攻擊的類型
幾乎每種網路安全攻擊都包含某種社會工程手法。例如,使用電子郵件和病毒的典型詐騙充斥著社會性。
社會工程攻擊不僅能以數位方式進行手機攻擊,也可以使用桌面設備影響您。威脅也可能以線下實體的方式進行,不同攻擊也可以相互搭配結合,形成騙局。
以下為社會工程攻擊者常用的方法:
釣魚攻擊
釣魚攻擊者冒充值得信賴的機構或人士,試圖說服受害者洩露個人資料和其他重要內容。
釣魚攻擊有兩種目標方式:
- 1. 垃圾郵件釣魚,也就是大規模釣魚,是同時針對多位使用者的廣泛性攻擊。此類攻擊不具有個人化特性,單純誘騙任何毫無戒心的人上當。
- 2. 魚叉式釣魚以及其延伸出的「捕鯨」釣魚會使用個人化的資訊來針對特定使用者。捕鯨攻擊則又特別針對高價值的目標,例如:名人、高層管理人員和高階政府官員。
無論是直接交談還是透過仿冒的網站資訊欄位,任何分享出去的資訊都會直接成為詐騙份子的囊中物,人們甚至可能受到欺騙並下載含有下一階段的釣魚攻擊會使用到的惡意軟體。釣魚中使用的手法都有其獨特的施行方式,包括但不限於:
語音釣魚(vishing)可能透過自動語音系統來電並記錄人們輸入所有的資訊,有時也可能以真人的方式通話以增強信任感和緊迫感。
簡訊釣魚(smishing)可能透過網路連結或通知來讓他人回覆詐騙電子郵件或電話號碼。
電子郵件釣魚是最傳統的釣魚方式,藉由使用電子郵件催促他人回覆或透過其他方式聯繫,並可能會配合使用網路連結、電話號碼或惡意軟體附件。
社群網站釣魚會使用社群媒體,其中攻擊者會假冒受信任公司的客服人員,截取您與該品牌的交流內容並將您的對話轉移成私人訊息,然後加強攻擊。
搜尋引擎釣魚會嘗試將詐騙網站的連結置於搜尋結果中的前幾項,藉由利用付費廣告或正常的最佳化方法來操縱搜尋排名。
URL 釣魚連結能誘使他人造訪釣魚網站。此類連結通常透過電子郵件、簡訊、社群媒體訊息或網路廣告散播。攻擊者會使用超連結文字或按鈕隱藏連結、使用縮短連結工具或故意拼寫錯誤的 URL。
瀏覽期間釣魚會突然中斷您的正常瀏覽。例如,正在瀏覽的網頁上可能會出現假的登入視窗。
誘餌攻擊
誘餌攻擊會利用他人的好奇心讓自己掉入攻擊者的陷阱中。常見的誘騙手法包括提供免費或限量的東西。此類攻擊包括感染惡意軟體。
常見的誘餌方法包括:
- 在圖書館或停車場公共場所遺留的 USB 隨身碟。
- 含有免費優惠內容的電子郵件附件,或是詐騙免費軟體。
實體侵犯攻擊
在實體侵犯攻擊中,攻擊者會親自現身,假裝是合法人員來獲取通常無權存取的內容或資訊。
此類攻擊在企業環境中最為常見,例如:政府、企業或其他組織。攻擊者可能假冒是公司認識且信賴的供應商代表,某些攻擊者甚至可能是不久前被解雇且對前僱主心存怨恨的員工。
他們會模糊自己的身份但同時又確保其可信度,以避免受到質疑。此類攻擊需要有所研究且風險很高,所以通常是已經確定成功後會獲得的回報極高才會進行此種方式的攻擊。
偽裝攻擊
偽裝攻擊使用假身份進行「偽裝」並建立信任感,例如:直接假冒供應商或辦公處的員工。攻擊者使用此手法時需要更積極與受害者互動。在受害者相信其真實性後就會開始利用受害者。
尾隨攻擊
尾隨,或搭便車,是指跟隨具有權限的人員進入限制存取的區域。攻擊者可能會利用交際手法使相關人員為他們開門,或是說服其也有權進入該區域,或搭配偽裝手法進行。
以物易物攻擊
以物易物在釣魚攻擊中會以獎勵或其他好處換取個人資訊。贈品或參加研究問卷調查的獎勵可能讓人遭受此類攻擊,
其利用人們想要獲得獎勵的興奮感以及只需付出極少代價的假象。然而,攻擊者最終會取得資料而不會提供任何獎勵。
DNS欺騙與快取毒化攻擊
DNS 會操縱瀏覽器和網頁伺服器,在人們輸入正確網址時將其引導至惡意網站。受到此類感染後,重新導向會不斷繼續進行。直到清除相關系統中的不正確路由資料為止。
DNS 快取毒化攻擊專門將合法網址或多個網址的路由指示感染到裝置上,使其連接到詐騙網站。
恐嚇軟體攻擊
恐嚇軟體是用來嚇唬人們採取行動的惡意軟體。此類欺騙性惡意軟體會使用極為嚴重的警告內容、謊報受到惡意軟體感染,或聲稱帳戶受到入侵,
隨後恐嚇軟體在催使購買詐騙的網路安全軟體或洩露帳戶登入資訊等私人詳細資訊。
水坑攻擊
水坑攻擊會在熱門的網頁上植入惡意軟體並一次影響眾多使用者。攻擊者需要精心計劃並找出網站的弱點,例如尋找尚未知曉而未受修補的漏洞,也被稱為零日漏洞。
有時,他們可能會發現某個網站尚未更新其基礎設施而未修補已知問題。網站擁有者可能維持使用穩定的版本而選擇延遲軟體更新,待新版本經過系統穩定性驗證後再切換,讓駭客能利用此行為來針對近期修補的漏洞。
特殊社會工程手法
網路犯罪份子在某些情況下會使用複雜的手法來進行網路攻擊,包括:
- 傳真釣魚:某銀行的客戶收到貌似來自該銀行的假冒郵件,而郵件內容要求客戶確認存取密碼,但不以常用電子郵件/網路作為確認管道。相反,客戶被要求列印出郵件中的表格後填寫詳細資訊,並將表格傳真到網路犯罪份子所提供的電話號碼。
- 傳統郵件惡意軟體散播:在日本,有網路犯罪份子使用宅配服務散播具有木馬程式軟體的 CD,並讓日本某間銀行的客戶收到 CD,而客戶的地址則是先前自銀行的資料庫中所竊取獲得的。
社會工程攻擊的例子
Examples of Social Engineering Attacks
惡意軟體攻擊特別值得關注,因為其普遍存在並有持久性的影響。
製作惡意軟體的人士使用社會工程技巧來誘使沒有警戒心的使用者啟動受感染的檔案或開啟導向至受感染網站的連結。許多電子郵件蠕蟲和其他類型的惡意軟體都會使用到社會工程手法。如果您的行動裝置和桌面裝置沒有全面性的安全軟體,您可能會讓自己暴露於感染的風險中。
蠕蟲攻擊
網路犯罪份子會試圖將使用者的注意力導引至連結或受感染的檔案上,然後讓使用者點擊開啟。
此類攻擊的例子包括:
- LoveLetter 情書蠕蟲在 2000 年造成許多公司的電子郵件伺服器超載。受害者收到一封帶有附加檔案的電子郵件,邀請其打開隨信附上的情書。在他們打開附加檔案後,蠕蟲將自己複製到受害者通訊錄中的所有聯絡人。就所造成的財物損失而言,此蠕蟲是至今最具破壞性的蠕蟲之一。
- Mydoom電子郵件蠕蟲在 2004 年 1 月在出現在網路上,其模仿郵件伺服器發出的技術訊息文字內容。
- Swen 蠕蟲偽裝成微軟發出的訊息,聲稱訊息中的附件為 Windows 漏洞的修補程式,導致許多人相信該訊息並嘗試安裝實際上是蠕蟲的假安全修補程式。
惡意軟體連結的傳播方式
導向受感染網站的連結可以透過電子郵件、ICQ 和其他即時通訊系統,或甚至透過 IRC 網路聊天室傳送,而手機病毒經常以 SMS 簡訊的方式傳送。
無論傳播方法為何,訊息內容通常都會包含具有吸引力或能引發好奇心的文字,促使沒有戒心的使用者點擊連結。這種入侵系統的方法可以讓惡意軟體避開郵件伺服器的防毒過濾器。
點對點(P2P)網路攻擊
惡意軟體也能透過 P2P 網路進行散播。P2P 網路上時常有蠕蟲或木馬病毒,但會具有能誘騙使用者下載和開啟檔案的名稱。例如:
- AIM & AOL 密碼破解器.exe
- Microsoft CD 金鑰產生器.exe
- PornStar3D.exe
- Play Station 模擬器破解.exe
讓受感染的使用者不敢通報攻擊
在某些案例中,惡意軟體的製作者和散播者會以特殊手法降低受害者通報感染的可能性:
受害者可能接受了能進行非法用途的免費工具或操作指南,如:
- 免費的網路或手機通訊內容存取。
- 信用卡號碼產生器下載。
- 增加線上帳戶餘額方法。
受害者意外下載到木馬病毒後,會希望避免自己的非法意圖受到揭露,進而讓受害者退卻向任何執法機關通報感染。
過去某個類似手法的案例中,木馬病毒被傳送至從招聘網站獲取的電子郵件地址,在該網站註冊的人收到假工作機會,但內容中具有木馬病毒。該次攻擊主要針對公司用的電子郵件,而網路犯罪份子深知受到木馬程式感染的員工不會進行通報,因為他們不想讓雇主知道自己正在尋找其他工作。
如何辨識社會工程攻擊
防範社會工程攻擊需要保持警戒心,並在進行任何動作或反應前放慢腳步思考。
攻擊者希望人們不顧風險就採取行動,因此應該反其道而行。如果您懷疑自己受到攻擊,可以考慮下列問題:
- 我是否情緒高漲?當人非常好奇、害怕或興奮時,不太可能有效評估自己行為的後果,而不會考慮相關狀況的真實性。如果您的情緒高漲,則請視其為警訊。
- 訊息是否真實來自相關傳送者?收到可疑訊息時,請仔細檢查其電子郵件地址和社群媒體個人頁面。您可以檢查是否有模仿性文字,比如說使用「torn@example.com」來假冒「tom@example.com」。您也可以檢查是否為模仿好友照片和其他詳細資訊的社群媒體假頁面。
- 我的朋友是否真的有傳送該訊息?詢問傳送者其是否真的有傳送該訊息。無論是同事還是生活中的其他人,如果可能,請親自或致電詢問。他們可能已受到駭客入侵或帳號受到冒充但尚未察覺。
- 網站是否有奇怪之處?混亂的網址、不清楚的圖片、老舊或不正確的公司標誌以及網頁錯誤都可能是詐騙網站的警訊。如果您意外進入假冒網站,請務必立即離開。
- 內容是否太過美好?贈品或獎勵等內容有很大的可能性是社會工程攻擊,對方不可能提供有價值的內容卻不用您做出對應的付出。請時刻保持警惕,因為即使是電子郵件等基本資料也可能被收集並販售給不良廣告業者。
- 附件或連結是否可疑?如果訊息中的連結或檔案名稱看起來有問題,再次考慮評估整件事情的真實性。此外也請考慮收到訊息的場合或時間點是否有問題,或是否有其他警訊。
- 對方是否能證明身份?如果對方無法證明其所聲稱的職務身份,則請勿提供所要求的存取權限,且不論是實體還是線上,因為以實體方式進行的攻擊容易讓人忽略攻擊者的身份是否屬實。
如何預防社會工程攻擊
除了辨識社會工程攻擊外,您還可以主動保護自己的隱私和安全。知道如何預防社會工程攻擊對於所有手機和電腦使用者來說都非常重要。
以下是保護您避免各種網路攻擊的一些重要方法:
安全的通訊和帳戶管理習慣
線上通訊特別容易受到攻擊。雖然社群媒體、電子郵件、簡訊都是常見的目標,線下的實體互動也需要注意。
絕對不要點擊任何電子郵件或訊息中的連結,手動輸入網址到網址列,無論寄件人是誰,也請檢查網址是否為官方網址,並絕對不要前往任何無法確定為官方或合法網站的網址。
使用多因素驗證。只有密碼保護的線上帳戶並不太安全。多因素認證能為身份驗證增加額外的保護層,可以使用的「因素」包括指紋或臉部辨識等生物特徵,或者透過簡訊傳送的一次性密碼。
使用高強度密碼(和密碼管理器)。每個密碼都應該獨特且複雜,且應使用大寫、數字和符號等字元類型組合,此外也應盡量使用較長的密碼。密碼管理器能幫助您管理所有自訂的密碼定安全儲存和記住。
避免分享學校名稱、寵物名稱、出生地或其他個人詳細資訊,因為可能無意中就會透露安全問題的答案或部分密碼。設定容易記住但不完全正確的安全問題能讓犯罪份子更難破解帳戶。假設您的第一輛車的品牌是「Toyota」,將安全問題的答案設定為「小丑車」等玩笑話絕對能難倒窺探中的駭客。
建立限於線上的友誼時要特別小心。雖然網路能讓我們接觸到世界各地的人們,也時常被利用來進行社會工程攻擊,請務必注意試圖操縱他人或明顯濫用信任的跡象和警訊。
安全的網路使用習慣
受到入侵的網路可能會成為安全弱點並以此進行背景調查。為了避免您的資料被用來傷害您,請對您連接的所有網路採取保護措施。
絕對不要讓陌生人連接至您主要使用的 Wi-Fi 網路,在家中或工作場所提供客人使用的 Wi-Fi 連接,如此一來能讓您主要的加密和密碼保護的連接保持安全並避免被攔截,有心人士要「竊聽」資訊時將無法存取您和其他人希望保持隱私的內容。
使用 VPN。如果有心人士找到能攔截您的主網路(無論是有線、無線或手機網路)上流量的方法,虛擬私人網路(VPN)也可以阻止他們的攻擊。VPN 服務能在您使用的任何網路連線上為您提供私人加密「隧道」。您的連線不僅會受到保護、避免受到他人監視,資料也會被匿名化,因此無法透過 cookie 或其他方式追溯到您。
確保所有網路連接裝置和服務的安全。許多人都知道行動裝置和傳統電腦裝置的網路安全注意事項。但是,保護網路本身以及所有的智慧裝置和雲端服務也很重要。確保常被忽略的裝置也受到保護,例如:車輛的資訊娛樂系統和居家網路路由器。此類裝置的資料洩漏可能給有心人士進行個人化社會工程詐騙的機會。
安全的裝置使用習慣
保護您的裝置本身和其他數位行為同等重要。遵循以下建議可保護手機、平板電腦和其他電腦裝置:
使用全面的網路安全軟體。惡意軟體感染是受到社會工程攻擊的一個常見結果。使用高品質的網路安全解決方案非常關鍵,其能對抗 rootkit、木馬病毒和其他機器人的攻擊、消除感染並追蹤其來源。
絕對不要在公共場所閒置裝置而沒有鎖定,尤其在工作場所時,請務必保持電腦和行動裝置處於鎖定狀態。在機場和咖啡廳等公共場所使用裝置時,裝置不可離開您的視線。
軟體在有更新可用時就立即進行更新,因為立即更新能提供軟體必要的安全修復。跳過或延遲更新作業系統或應用程式可能留下已知的安全漏洞並讓駭客能夠進行攻擊。駭客知道許多電腦和手機使用者有此類行為,並將其作為社會工程惡意軟體攻擊的主要目標。
檢查線上帳戶是否有已知的資料洩漏。卡巴斯基專業版等服務能主動為電子郵件地址監控新的和已知的資料洩漏,並在受到洩露的資料中發現您的帳戶時通知您並建議您應採取的行動。
教育是對抗社會工程攻擊的起點。如果所有使用者都知道相關威脅,整體社會安全將能獲得改善,因此請與您的同事、家人和朋友分享您所學到的內容,加強人們對相關風險的認識。