社交工程是什麼？遇到網路釣魚怎麼辦？

社交工程（Social Engineering）是什麼？

「社交工程（Social Engineering）」一詞源自社會學，在資訊安全領域中，用來指稱透過影響別人心理，以騙取敏感資料、入侵資訊系統、進行詐欺等的信任騙局。社交工程攻擊的目標是人，可以說最不需要專業技術的網路攻擊方式之一。社交工程仰賴駭客直接與受害者對話，利用人性弱點創造出虛假的情境以激發受害者的情緒，例如貪心、恐懼、焦慮、好奇、同情心、正義感、信任感等，再誘使受害者採取特定行動。缺乏警覺性的情況下，受害者很可能就被駭客牽著鼻子走，引發資料外洩和未授權存取等資安問題。

電話、簡訊、電子郵件、社交媒體和網站，只要是可以當作人與人之間溝通的工具，都可能成為社交工程攻擊的渠道。例如假扮資安人員的來電、偽裝成長官的電子信件、冒充知名公司的網站等，誘使目標點擊來路不明的連結，再進行下一步的詐欺計畫。

通常社交工程攻擊可以分為四個階段：「調查階段（Investigation）」、「引誘階段（Hook）」、「玩弄階段（Play）」和「結束階段（Exit）」。 

1. 調查階段：駭客首先選定攻擊目標，接著調查目標的背景、收集有關情報。根據資料，設計出針對目標的社交工程騙局。目標可大可小，從個人網路使用者到大型企業，或單一至多個目標。

2. 引誘階段：下一步，駭客接近目標。以透過捏造出來的情境，主導和目標互動的過程，騙取其信任後控制對方。

3. 玩弄階段：目標開始聽命於自己後，駭客便展開社交工程攻擊中的「攻擊」，引誘目標在不自覺的情況下協助駭客入侵系統或洩漏機密資料。

4. 結束階段：最後駭客目的達成時，便以自然、不令人起疑的方式終止與目標的互動，並抹除自己的蹤跡，減少事後被追查的可能性。

5.  結束之後，駭客可以再重新開始新的社交工程詐騙，尋找新的受害者進行攻擊。

常見的社交工程攻擊類型：

一、釣魚（Phishing）

釣魚透過網路和電信溝通渠道，廣泛傳送惡意連結或惡意軟體，在訊息內容中製造緊張感或迫切感，企圖誘使受害者點擊連結，自行洩漏敏感資訊或下載檔案，以此方法入侵資訊系統。例如帳戶被盜用，要求目標在時限內於信件中連結的網站更改密碼；在購物網站的付款設定有誤，需前往另一網頁依照指示取消扣款設定等等。

釣魚可以說是最普遍的社交工程攻擊手法，根據 Statista 統計，2023 年第二季全球有約 128 萬個不同的惡意釣魚網站。而目前最常被駭客利用來進行釣魚溝通渠道為電子郵件、簡訊、即時通訊軟體和釣魚網站。

【釣魚範例示意圖】

為取得受害者信任，駭客通常利用相似的文字、字元編碼規則或增刪網址文字和更改排列順序，假造難以辨識的盜版電子郵件信箱或盜版網站網址。 

• 相似的字形：如數字「0」和「1」，取代字母「o」和「l」，或以字母「r」和「n」、「v」和「v」，替代字母「m」、「w」等。駭客可能引誘受害者到「arnazon[.]com」，而非正版的「amazon[.]com」。如果沒有多留心，很容易沒注意到其中差異。

• 字元編碼規則：譬如拉丁字母和西里爾字母有許多字母外形極為相似，但在通用字元編碼中有不同的代碼，像是拉丁字母小寫「p」編碼為「U+0070」，西里爾字母小寫「р」編碼為「U+0440」。因此人眼中看起來相同的網址，電腦會解讀成不同的網站，例如「paypal[.]com/tw/home」和「рayрal[.]com/tw/home」肉眼看起來一模一樣。

• 更改網址：除了上面兩種仿冒網域的方式以外，駭客還可能藉著目標不一定熟悉正版網站網址，使其上當受騙。例如，正版的銀行網址為「ctbcbank[.]com」，駭客在釣魚訊息中則是提供「ctbc[.]com」、「ctbcbanks[.]com」、「ctbcbanking[.]com」等假網址。

二、魚叉式釣魚（Spear Phishing）／捕鯨攻擊（Whaling）

魚叉式釣魚和捕鯨攻擊皆為釣魚攻擊的變形，差別在於騙局的複雜程度和受害目標類別。 

相比於亂槍打鳥的一般釣魚，魚叉式釣魚只鎖定單一目標，針對性更高，內容客製化程度也更高。駭客需要花大量時間深入研究目標背景資訊，熟悉內部情報，以設計出說服力高的騙局。魚叉式釣魚的目標多為企業組織，透過企業組織中的員工入侵系統或進行大規模詐騙。

2013-2015 年間，立陶宛男子偽裝成台灣廣達電腦，偽造網站、電子信箱、合約等文件，寄付款通知給 Google 和 Facebook 及其子公司，詐騙逾 1 億美元。由於 Google 和 Facebook 長期和廣達有大金額的交易，收到魚叉式釣魚信件的員工不疑有他匯款至指定帳戶。

捕鯨攻擊同樣也高客製化、高針對性，差別在於其鎖定的對象為知悉企業重要資訊的高階主管，比如 CEO、CFO 等。在捕鯨攻擊中，駭客創造個人化的釣魚訊息，在訊息內容中加入目標職銜、電話等公開資訊。為了降低目標的警戒心，駭客會多次和受害者來回互動，再開始行騙。

2020 年 9 月，澳洲避險基金公司 Levitas Capital 的共同創辦人點擊了假造的 Zoom 會議邀請連結，駭客藉此在 Levitas Capital 的系統中安裝惡意軟體，並入侵其電子郵件系統。以 Levitas Capital 的名義大量寄出偽造的付款通知給其信託公司 AET Corporate Trust，再由 AET Corporate Trust 同意付款，將付款動作交予金融機構 Apex Group 執行。由於 Levitas Capital 的電子郵件系統已被入侵，駭客接著使用創辦人的信箱寄信授權 Apex 完成匯款。因為此次社交工程攻擊事件，Levitas Capital 損失 8 百萬和最大客戶，最終不得不結束公司營運。

三、下餌（Baiting）

下餌著重在利用人的好奇心或是貪念發動攻擊，駭客假意承諾目標某些好處，待其主動上鉤，讓駭客有機會竊取財物或置入惡意軟體。下餌概念和釣魚雷同，但手法不限於網路和電信通訊，駭客也可能透過實體媒介執行下餌類型的社交工程攻擊。

比方說，駭客將感染惡意軟體的 USB 隨身硬碟置於某企業內部，沒有警戒心、不知情的員工發現後，可能將其連接至公司設備。駭客便可以入侵整個公司系統。

四、假託（Pretexting）

駭客冒充目標信任的人，如家人、朋友、同事等等，針對目標創造完整的情境。在整個互通過程中保持人設，讓目標完全信任自己，最後誘騙受害者前往釣魚網站、下載惡意軟體、自行透露機密資訊或讓駭客進入公司系統。例如駭客可能在假託攻擊中，假扮為外部 IT 審查人員進入公司實體辦公室或假扮為人資人員，再鎖定企業的高階主管。

五、尾隨（Tailgating）

尾隨主要發生於現實世界，指駭客在未授權的情況下進入管制區域後，進行犯罪活動，包含竊取資料、損害財物、置入惡意軟體等等。生活中，幫忙後面的人開門是一種禮貌。駭客就是利用一般人的善意，入侵限制區域。舉例來說，駭客可能在企業出入口緊跟隨於員工身後，趁員工進入公司，門尚未關閉之時突破門禁管制。

六、恐嚇軟體（Scareware）

駭客利用恐嚇軟體，引發目標恐懼和慌張的情緒，然後乘虛而入、操控目標。恐嚇軟體可以大量向目標發送假警告，例如中勒索病毒警訊，讓受害者以為自己陷入資安危機。再建議受害者下載安裝其他偽裝成掃毒軟體的惡意軟體，或聯絡假扮成資安人員的駭客。

【想更進一步瞭解網路攻擊如何運作與預防，可以參考《網路攻擊》文章。】

該如何預防社交工程攻擊？

從上述的攻擊手法可見，預防社交工程最好的方式就是提高警覺，不要輕易相信收到的訊息，也不要冒然採取內容中建議的行動。但除此之外還可以怎麼做呢？以下整理了 6 種預防社交工程攻擊的具體作法：

一、養成良好的網路使用習慣

不造訪安全有疑的網站、不打開可疑的電子郵件和其附件、不要用公共電腦、不下載來路不明的盜版軟體等等。除此之外，也建議檢查電子郵件的寄件人信箱地址和網址是否正確，並且謹慎對待網路上所接受到的資訊：透過另外的管道查證其真實性；注意有沒有過多錯別字、簡體字、不自然的句子，以及是否有意圖使人恐懼、擔心，還要求採取特定行動。

【不安全連線示意圖】

二、安裝並定期更新資安防護系統

安裝防毒軟體、弱點掃描系統可以防止電腦被植入惡意病毒，及時緩解部分社交工程威脅。而定期將防毒軟體更新到最新版本，讓系統能夠抵擋最新型的惡意軟體攻擊。

三、避免公開暴露過多自己的資訊

在社群媒體上公布越多私人資訊，駭客越能藉由這些資訊，設計可信度高的魚叉式釣魚陷阱，發動社交工程攻擊。除此之外，駭客同時可以利用公開在社群媒體上的情報，假冒目標的家人、朋友、同事等等，取得其信任，再加以行騙。

四、加密和備份資料

社交工程攻擊除了為獲取財物，也有看準目標所擁有的資訊而發動的攻擊。平時加密電腦中的敏感資料，即使資料不慎外洩，仍有極高的安全性保護。另一方面，定期備份重要資料，避免電腦硬碟遭駭客損毀之時，系統重要功能無法使用。

五、不要將不明硬碟連接至電腦

來路不明的 USB 隨身碟或行動硬碟，甚至是現在少見的光碟片，可能內藏惡意軟體，一旦連接至電腦就會立即將其感染。對於來源不明的硬碟，建議保持一定警戒心。同時，可以關閉電腦自動執行（AutoRun）功能，避免電腦在讀取到外接硬碟或光碟時，立即開始自動讀取其內容。

六、採取多因子認證（MFA）機制

多因子認證加強身份認證機制的安全性，除了傳統的帳號密碼以外，提供其他身份驗證因子，包含生物識別、硬體憑證、簡訊驗證碼等等。讓進入系統多一道防護，降低未授權存取或身份盜用的風險。

社交工程攻擊實例

除了遵循最佳做法以外，多了解實際社交工程攻擊案例與樣貌，也能協助個人和企業提升對於此類網路攻擊的警戒心，降低其危害或後果的嚴重性。以下整理了假冒美國勞工部的網路釣魚事件，和駭客所使用的伎倆。

2021 年下半，出現駭客偽裝成美國勞工部，廣發政府案件招標電子郵件，並在其中夾帶釣魚網站連結，藉此竊取來投標的公司之敏感資訊和登入資料。

無論是信件內容，還是寄件者的地址，都經過駭客的精心偽裝。內有勞工部的 Logo，並模仿政府文件的格式，且附上標案編號。寄件地址也依照常見的規則設計成 no-reply@dol-gov[.]com、no-reply@dol-gov[.]us、no-reply@bids-dolgov[.]us 等。

初步取得目標信任後，駭客在郵件中要求受害者下載一份 3 頁仿造政府文件的 PDF 檔案，並在其中夾帶釣魚網站的連結，誘騙目標點擊。盜版釣魚網站遵循常見的網址建立原則，於其中包含「政府（gov）」以及「招標（bid）」等相關字詞，並無不合邏輯之處或魚目混珠的相似字母。因此不熟悉正版政府招標網站的目標，容易就上當受騙。此次社交工程攻擊中，駭客使用的網址有：

• opendolbid[.]us

• usdol-gov[.]com

• bid-dolgov[.]us

• us-dolbids[.]us

• dol-bids[.]us

• openbids-dolgov[.]us

駭客甚至直接複製正版網站的 HTML 和 CSS 程式碼到自己的釣魚網站，使其看起來與正版網站無異。然而，受害者點擊「投標」按鈕，依螢幕要求輸入公司微軟系統或其他電子郵件系統的帳號密碼後，駭客就可以成功竊取登入資料了。

社交工程因為技術門檻較低而氾濫成災，無論是個人還是企業都可能不慎掉入陷阱。以「防人之心不可無」的態度，在面對十萬火急的情況保持警覺性，並善用適當資安防護產品，是遠離社交工程攻擊的不二法門。晟崴科技提供多種能加強防範社交工程的產品與服務：

• 端點安全防護系統

• 文件加密系統

• MDR威脅偵測應變服務

• 資安弱點通報機制

• 多因子認證服務（MFA）

• 弱點掃描服務

協助您將社交工程攻擊的傷害降到最低，歡迎隨時與我們聯絡！