什麼是社會工程?
當我們想到網路安全時,多數人想的是保護自己,避免駭客使用技術弱點來攻擊資料網路。但還有一個方法能深入組織和網路,即利用人性弱點。這即是社會工程,包括誘騙某人洩露資訊或允許存取資料網路。
例如,入侵者可以假裝成 IT 支援部門員工,要求使用者提供使用者名稱和密碼等資訊。但令人驚奇的是,有很多人會不假思索地自願提供這些資訊,如果這樣的要求是由看似合法的代表提出,則更是如此。
簡單而言,社會工程是利用欺騙行為來操縱個人,使其允許存取或洩露資訊或資料。
社會工程攻擊的類型
社會工程攻擊有許多種類型。務必瞭解社會工程的定義以及運作方式。在瞭解基本的威脅手法後,更容易察覺社會工程攻擊。
誘餌攻擊
誘餌攻擊關涉建立陷阱,例如被載入惡意軟體的 USB 隨身碟。有些人會好奇隨身碟中有什麼內容,便將其放入 USB 驅動器中,結果造成系統被侵害。事實上,USB 隨身碟可能會摧毀電腦,方法是從 USB 驅動器中獲得電力,然後將釋放猛烈的湧浪電流,損壞被插入隨身碟的裝置(而 USB 隨身碟的成本僅為 54 美元)。
偽裝攻擊
此種攻擊方式會使用偽裝來取得注意力,讓受害者在受騙上當後提供資訊。例如,網路調查可能一開始看起來十分無害,但接著便會詢問銀行帳戶詳細資訊。或者,有人會攜寫字板出現,宣稱正在進行網路系統審計,然而對方身分並不真實,甚至會竊取您的珍貴資訊。
釣魚攻擊
網路釣魚攻擊關涉假裝成來自受信任來源的電子郵件或文字訊息,要求收件者提供資訊。知名的類型是據稱來自銀行的電子郵件,希望客戶「確認」安全資訊,並引導客戶前往會記錄登入憑證的假網站。「魚叉式網路釣魚」攻擊以公司中的單獨一個人為目標,會傳送據稱來自該公司高階管理階層的電子郵件,要求收件者提供機密資訊。
語音釣魚和簡訊釣魚
這些類型的社會工程攻擊都是網路釣魚的變體,而「語音釣魚」代表僅需打電話並詢問資訊。這類犯罪分子可能會假裝成同事,例如,假裝成 IT 支援部門員工詢問登入資訊。簡訊釣魚則會使用簡訊來取得此資訊。
以物易物攻擊
通常會說「一個願打,一個願挨」,但這個情況是一個願打,另一個不願挨。許多社會工程攻擊會讓受害者誤以爲提供資料或存取權會獲得某種回報。「恐嚇軟體」便以此方式運作,承諾電腦使用者更新後便能解決緊急安全問題,但事實上,恐嚇軟體本身便是惡意安全威脅。
聯絡人垃圾郵件和電子郵件駭客攻擊
此類型的攻擊包括駭入個人的電子郵件或社群媒體帳戶,以取得對聯絡人的存取權。聯絡人可能會被告知該個人遇到搶劫且損失所有信用卡,接著會要求聯絡人轉帳至轉帳帳戶。或者,某個「好友」會轉寄「切勿錯過的影片」,但該影片實際上是連結至惡意軟體或鍵盤側錄木馬程式。
農耕與獵捕之比較
最後,請留意仍有部分社會工程攻擊發展得更為成熟。前文所述的多數簡單方法都屬於「獵捕」形式。基本上就是侵入、取得資訊,然後離開。
然而,部分類型的社會工程攻擊關涉與攻擊對象建立關係,以在更長時間內取得更多資訊。這被稱為「農耕」,但這類攻擊者面臨的風險較高,因為他們更容易被發現。但若滲透成功,便能傳送更多資訊。
如何避免社會工程攻擊
社會工程攻擊格外難以對抗,因為這類攻擊是專門針對人類自然特質所設計,例如好奇、尊重主管機關,以及希望能對好友伸出援手。以下是一些有助於偵測社會工程攻擊的建議。
檢查來源
花點時間想想該通訊內容來自何處,不要盲目相信。USB 隨身碟出現在桌上,但您不知道這是什麼隨身碟。突然接到來電,告知您繼承了 500 萬美元。執行長寄送的電子郵件,要求提供大量個別員工資訊這些聽起來都很可疑,應以對待可疑內容的方式處理。
檢查來源並不困難。例如,若是電子郵件,請查看電子郵件標頭並與來自相同寄件者的有效電子郵件進行比對。查看連結的目的地:只要將滑鼠簡單懸停在誘騙超連結上(但不要點擊該連結!),便能輕鬆發現問題。檢查拼字:銀行有一支由合格人員組成的團隊,專門製作客戶通訊內容,因此有明顯錯誤的電子郵件很可能是假信件。
若有疑問,則前往官方網站並與官方代表聯絡,讓他們確認該電子郵件/訊息是官方內容或假內容。
他們知道什麼?
該來源是否沒有對方應該掌握的資訊,例如您的全名?請記得,若銀行致電聯絡您,他們應會有所有相關資料,且永遠會在讓您對帳戶進行變更前先詢問安全問題。若非如此,那是假電子郵件/來電/訊息的可能性就很高,您應提高警惕。
打破迴圈
社會工程通常是以急迫感為基礎。攻擊者希望目標對象不會就正在發生的事思考太多。因此只要花點時間想想,便能阻止這些攻擊者或讓他們露出虛假的真面目。
撥打官方電話號碼或瀏覽官方網站的網址,切勿在電話上提供資料或點擊連結。使用不同的通訊方法來確認來源的可信度。例如,若收到好友要求您匯款的電子郵件,傳送簡訊或打電話給他們,驗證寄件者是否真的是對方。
詢問 ID
最簡單的社會工程攻擊方式之一就是帶著大箱子或抱著一大疊文件繞過保全直接進入大樓。甚至,有些熱心人士還會幫忙扶著開啟的門。不要上當。永遠都要詢問 ID。
其他方式也是如此。確認來電者或要求資料者的姓名和電話號碼,針對要求資訊的基本回答是「您要回報給誰呢?」。其次,只要在提供任何隱私資訊或個人資料前先確認組織圖表或電話簿即可。若不認識要求提供資訊的人,且仍不放心提供資訊,請告訴對方您需與他人確認後再回覆。
使用優秀的垃圾郵件篩選工具
若電子郵件程式不足以篩選出垃圾郵件或將電子郵件標為可疑郵件,您可能須調整設定。優秀的電子郵件篩選工具會使用不同種類的資訊來判斷哪些電子郵件可能是垃圾郵件。此類工具可能會偵測可疑檔案或連結、具有可疑 IP 位址或寄件者 ID 的黑名單,也可能會分析訊息內容,藉此判斷哪些可能是假內容。
這現實嗎?
部分社會工程攻擊的運作方式是嘗試欺騙您不要深入分析,因此花時間評估是否為現實情況,將有助於偵測出許多攻擊行為。舉例來說:
- 若好友真的在唐人街上無法離開,他們會傳送電子郵件還是打電話/傳訊息給您?
- 奈及利亞王子有可能會留給您一百萬美元嗎?
- 銀行會致電詢問您的帳戶詳細資訊嗎?事實上,許多銀行會在傳送電子郵件或致電給客戶時留下備註。因此若您有疑慮,請再次確認。
不要心急
若您察覺對話中透露出急迫感,請格外警惕。這是惡意行動者阻止目標對象謹慎思考問題的標準方法。若您感受到壓力,請讓一切慢下來。表明您需要時間取得該資訊、需要詢問經理、目前手邊沒有正確的詳細資訊等,任何可以延緩速度的事情都可以,讓自己有時間思考。
多數時候,若社會工程者發現自己失去出奇不意的行動優勢後,便不會再冒險了。
保障裝置的安全
務必保障裝置安全,即使社會工程攻擊成功,損失也有限。無論是智慧型手機、基礎家庭網路,或是大型企業系統,基本原則都相同。
- 確保惡意軟體防護軟體和病毒防護軟體維持在最新狀態。這有助預防惡意軟體透過網路釣魚郵件自行安裝。使用卡巴斯基防毒軟體等套件來確保網路和資料安全。
- 確保定期更新軟體和韌體,尤其是安全性修補程式。
- 不要以 root 或越獄方式使用手機,也不要以管理者模式使用網路或電腦。即使社會工程攻擊取得「使用者」帳戶的使用者密碼,他們也不能重新設定您的系統或在系統上安裝軟體。
- 不同帳戶不要使用相同密碼。若社會工程攻擊取得您社群媒體帳戶的密碼,您絕不會希望他們也能解鎖其他帳戶。
- 針對重要帳戶使用雙因素驗證,如此一來,只有密碼便不足以存取您的帳戶。這可能包括語音識別、使用安全裝置、指紋或簡訊確認代碼。
- 若您剛洩露自己帳戶的密碼,且認為可能受到「工程」攻擊,請立即變更密碼。
- 持續瞭解新的網路安全風險,定期閱讀我們的資源中心。您會在新攻擊方法出現時有所瞭解,讓自己較不容易成為受害者。
想想數位足跡
您可能也要思考一下自己的數位足跡。在線上過度分享個人資訊(例如透過社群媒體分享)可能有助於攻擊者進行攻擊。例如,許多銀行可能以「您第一隻寵物的名字」作為安全問題,但您是否曾在 Facebook 分享過該資訊呢?若有,那您可能就有弱點了!此外,部分社會工程攻擊會透過提到您可能在社群網路上分享過的活動,來試著取得信賴。
建議您將社群媒體設定轉為「僅限好友」,且留意自己分享的內容。您不需要疑神疑鬼,只要小心謹慎即可。
想想您在線上分享的其他生活內容。例如,若您有線上履歷,應考慮刪減地址、電話號碼和生日,這些都是規劃社會工程攻擊者所需的實用資訊。儘管部分社會工程攻擊不會與受害者深度互動,但另外也有些是經過精心設計,因此請減少給這類犯罪分子提供所需的資訊。
社會工程攻擊十分危險,因為其會利用完全正常的情況,並操縱這些情況以達惡意目的。然而,若您完全瞭解其運作方式並採取基本防範措施,將能大大減少成為社會工程攻擊受害者的可能性。
推薦產品
