何謂社交工程(Social engineering)
所謂「社交工程」,就是詐騙!透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙…社交工程是利用人性的弱點進行詐騙,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。
簡單的說利用人與人之間的關係,讓使用者信任來源,例如家人、同事、長官….等等。偽裝成可信任的寄件者發送夾雜病毒的e-mail,當使用者對信件判斷為可信任來源時,戒心的下降打開信件附檔,造成了開啟復健後木馬病毒順利植入的情況。有時病毒不見得只在復健的執行檔中,有時會夾雜於文件、圖檔甚至影音檔中,讓使用者防不勝防。
常見的社交工程攻擊手法除了電話之外,常見的社交工程攻擊還包括︰
- 電子郵件隱藏電腦病毒
駭客利用社交工程的概念,將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,這些看似朋友所寄來的郵件,卻是應用社交工程的電子郵件陷阱,例如過去造成重大損害的I LOVE YOU蠕蟲,就是一種利用社交工程散播的電腦病毒。 - 網路釣魚
有一種偽裝知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等,這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結,可能就下載了惡意程式;或者在假網頁上輸入了帳號密碼或信用卡資料等,造成銀行戶頭被盜領或盜刷等的嚴重後果,這是近年來造成個人與企業極大損害的犯罪手法,而網路釣魚就是一種典型的社交工程攻擊。 - 圖片中的惡意程式
明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一,這些都是利用使用者的好奇心來散佈惡意程式,之前Sobig網路病毒出現在某個含有色情內容的網路討論群組,網友點選了其中像是裸照的內容就會感染病毒,而該病毒總共導致了約10億美金的損失。 - 偽裝修補程式
另一種社交工程的欺騙手法,就是偽裝成微軟的修補更新程式,因為一般使用者不會覺得這是來路不明的程式,卻沒有防範社交工程也會利用這個漏洞,而將惡意程式隱藏其中。使用者若安裝了這個檔案,不但不會修補作業系統的任何漏洞,還可能被安裝了遠端竊取資料的木馬程式。 - 即時通也是社交工程新途徑
近年來,社交工程傳播惡意程式的途徑擴大至即時通訊軟體,如MSN、ICQ、YAHOO即時通、QQ等。2005年2月,一個使用MSN大量散播的病毒造成嚴重災情,這個電腦病毒會利用MSN自動傳檔給MSN聯絡人上的朋友,亞洲各國皆傳出災情,包括台灣的案例也有千起以上。
社交工程攻擊步驟
- 首先取得一個攻擊目標的背景資訊
- 向目標騙取資訊
- 再利用這些資訊向其他人欺騙
- 重覆這些步驟致達到最後目標
如何防範社交工程郵件
- 郵件軟體取消信件預覽及自動發信(相關設定如下)
- 使用純文字閱讀郵件(相關設定如下)
- 不開啟與公司無關之郵件
- 遵守組織安全政策與程序--確認對方的身份
- 認識常見社交工程攻擊的可疑徵兆
關閉Microsoft Outlook 的郵件預覽視窗(以Microsoft Outlook 2010 為例)
選擇「收件匣」 →點選「檢視」 →「讀取窗格」 「讀取窗格」 「讀取窗格」 →「關 閉」除「收件匣」外,刪除的郵、垃圾寄備份也請按以上步驟設定
使用純文字讀取,設定郵件禁止下載圖片和超連結
點選左上角的「檔案」 →「選項」 → 在「 Outlook 選項」點選「信任中心」 →「信任中心設定」 →「電子郵件安全性」→ 選取「以純文字讀所有標準郵件」核取方塊
取消自動發信
點選左上角的「檔案」→「選項」 →「進階 」→ (右邊畫面往下捲 ) 取消勾選「連線時立即傳」
按一下「傳送 /接收…」 → 取消「排定自動傳送/接收每隔 xx 分鐘」及「結束時自動傳送/接收」
雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,包括許多類型的 Web 資安威脅在內,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。
