社交工程是什么?遇到网路钓鱼怎么办?

分享:
 

五花八门的网路攻击中,大部分针对电脑资讯系统本身。但社交工程攻击是少数的例外,骇客将操纵人性融入到网路攻击手法里面。利用人的情绪来入侵电脑、窃取重要资料,进一步进行网路犯罪。而社交工程如何进行呢?有哪些不同的社交工程攻击手法?又该如何防范?本文将带您深入认识社交工程和实际案例,以及该如何预防、将伤害降至最低。

 

社交工程(Social Engineering)是什么?

「社交工程(Social Engineering)」一词源自社会学,在资讯安全领域中,用来指称透过影响别人心理,以骗取敏感资料、入侵资讯系统、进行诈欺等的信任骗局。社交工程攻击的目标是人,可以说最不需要专业技术的网路攻击方式之一。社交工程仰赖骇客直接与受害者对话,利用人性弱点创造出虚假的情境以激发受害者的情绪,例如贪心、恐惧、焦虑、好奇、同情心、正义感、信任感等,再诱使受害者採取特定行动。缺乏警觉性的情况下,受害者很可能就被骇客牵着鼻子走,引发资料外洩和未授权存取等资安问题。

 

电话、简讯、电子邮件、社交媒体和网站,只要是可以当作人与人之间沟通的工具,都可能成为社交工程攻击的渠道。例如假扮资安人员的来电、伪装成长官的电子信件、冒充知名公司的网站等,诱使目标点击来路不明的连结,再进行下一步的诈欺计画。

 

通常社交工程攻击可以分为四个阶段:「调查阶段(Investigation)」、「引诱阶段(Hook)」、「玩弄阶段(Play)」和「结束阶段(Exit)」。 

  1. 调查阶段:骇客首先选定攻击目标,接着调查目标的背景、收集有关情报。根据资料,设计出针对目标的社交工程骗局。目标可大可小,从个人网路使用者到大型企业,或单一至多个目标。

  2. 引诱阶段:下一步,骇客接近目标。以透过捏造出来的情境,主导和目标互动的过程,骗取其信任后控制对方。

  3. 玩弄阶段:目标开始听命于自己后,骇客便展开社交工程攻击中的「攻击」,引诱目标在不自觉的情况下协助骇客入侵系统或洩漏机密资料。

  4. 结束阶段:最后骇客目的达成时,便以自然、不令人起疑的方式终止与目标的互动,并抹除自己的踪迹,减少事后被追查的可能性。

  5.  结束之后,骇客可以再重新开始新的社交工程诈骗,寻找新的受害者进行攻击。

 

 

常见的社交工程攻击类型:

一、钓鱼(Phishing)

钓鱼透过网路和电信沟通渠道,广泛传送恶意连结或恶意软体,在讯息内容中制造紧张感或迫切感,企图诱使受害者点击连结,自行洩漏敏感资讯或下载档案,以此方法入侵资讯系统。例如帐户被盗用,要求目标在时限内于信件中连结的网站更改密码;在购物网站的付款设定有误,需前往另一网页依照指示取消扣款设定等等。

 

钓鱼可以说是最普遍的社交工程攻击手法,根据 Statista 统计,2023 年第二季全球有约 128 万个不同的恶意钓鱼网站。而目前最常被骇客利用来进行钓鱼沟通渠道为电子邮件、简讯、即时通讯软体和钓鱼网站。

 

ALL_article_24F17_M8wfczA3yr

【钓鱼范例示意图】

 

为取得受害者信任,骇客通常利用相似的文字、字元编码规则或增删网址文字和更改排列顺序,假造难以辨识的盗版电子邮件信箱或盗版网站网址。 

  • 相似的字形:如数字「0」和「1」,取代字母「o」和「l」,或以字母「r」和「n」、「v」和「v」,替代字母「m」、「w」等。骇客可能引诱受害者到「arnazon[.]com」,而非正版的「amazon[.]com」。如果没有多留心,很容易没注意到其中差异。

  • 字元编码规则:譬如拉丁字母和西里尔字母有许多字母外形极为相似,但在通用字元编码中有不同的代码,像是拉丁字母小写「p」编码为「U+0070」,西里尔字母小写「р」编码为「U+0440」。因此人眼中看起来相同的网址,电脑会解读成不同的网站,例如「paypal[.]com/tw/home」和「рayрal[.]com/tw/home」肉眼看起来一模一样。

  • 更改网址:除了上面两种仿冒网域的方式以外,骇客还可能藉着目标不一定熟悉正版网站网址,使其上当受骗。例如,正版的银行网址为「ctbcbank[.]com」,骇客在钓鱼讯息中则是提供「ctbc[.]com」、「ctbcbanks[.]com」、「ctbcbanking[.]com」等假网址。

 

二、鱼叉式钓鱼(Spear Phishing)/捕鲸攻击(Whaling)

鱼叉式钓鱼和捕鲸攻击皆为钓鱼攻击的变形,差别在于骗局的复杂程度和受害目标类别。 

 

相比于乱枪打鸟的一般钓鱼,鱼叉式钓鱼只锁定单一目标,针对性更高,内容客制化程度也更高。骇客需要花大量时间深入研究目标背景资讯,熟悉内部情报,以设计出说服力高的骗局。鱼叉式钓鱼的目标多为企业组织,透过企业组织中的员工入侵系统或进行大规模诈骗。

 

2013-2015 年间,立陶宛男子伪装成台湾广达电脑,伪造网站、电子信箱、合约等文件,寄付款通知给 Google 和 Facebook 及其子公司,诈骗逾 1 亿美元。由于 Google 和 Facebook 长期和广达有大金额的交易,收到鱼叉式钓鱼信件的员工不疑有他匯款至指定帐户。

 

捕鲸攻击同样也高客制化、高针对性,差别在于其锁定的对象为知悉企业重要资讯的高阶主管,比如 CEO、CFO 等。在捕鲸攻击中,骇客创造个人化的钓鱼讯息,在讯息内容中加入目标职衔、电话等公开资讯。为了降低目标的警戒心,骇客会多次和受害者来回互动,再开始行骗。

 

2020 年 9 月,澳洲避险基金公司 Levitas Capital 的共同创办人点击了假造的 Zoom 会议邀请连结,骇客藉此在 Levitas Capital 的系统中安装恶意软体,并入侵其电子邮件系统。以 Levitas Capital 的名义大量寄出伪造的付款通知给其信託公司 AET Corporate Trust,再由 AET Corporate Trust 同意付款,将付款动作交予金融机构 Apex Group 执行。由于 Levitas Capital 的电子邮件系统已被入侵,骇客接着使用创办人的信箱寄信授权 Apex 完成匯款。因为此次社交工程攻击事件,Levitas Capital 损失 8 百万和最大客户,最终不得不结束公司营运。

 

三、下饵(Baiting)

下饵着重在利用人的好奇心或是贪念发动攻击,骇客假意承诺目标某些好处,待其主动上钩,让骇客有机会窃取财物或置入恶意软体。下饵概念和钓鱼雷同,但手法不限于网路和电信通讯,骇客也可能透过实体媒介执行下饵类型的社交工程攻击。

 

比方说,骇客将感染恶意软体的 USB 随身硬碟置于某企业内部,没有警戒心、不知情的员工发现后,可能将其连接至公司设备。骇客便可以入侵整个公司系统。

 

四、假託(Pretexting)

骇客冒充目标信任的人,如家人、朋友、同事等等,针对目标创造完整的情境。在整个互通过程中保持人设,让目标完全信任自己,最后诱骗受害者前往钓鱼网站、下载恶意软体、自行透露机密资讯或让骇客进入公司系统。例如骇客可能在假託攻击中,假扮为外部 IT 审查人员进入公司实体办公室或假扮为人资人员,再锁定企业的高阶主管。

 

五、尾随(Tailgating)

尾随主要发生于现实世界,指骇客在未授权的情况下进入管制区域后,进行犯罪活动,包含窃取资料、损害财物、置入恶意软体等等。生活中,帮忙后面的人开门是一种礼貌。骇客就是利用一般人的善意,入侵限制区域。举例来说,骇客可能在企业出入口紧跟随于员工身后,趁员工进入公司,门尚未关闭之时突破门禁管制。

 

六、恐吓软体(Scareware)

骇客利用恐吓软体,引发目标恐惧和慌张的情绪,然后乘虚而入、操控目标。恐吓软体可以大量向目标发送假警告,例如中勒索病毒警讯,让受害者以为自己陷入资安危机。再建议受害者下载安装其他伪装成扫毒软体的恶意软体,或联络假扮成资安人员的骇客。

【想更进一步瞭解网路攻击如何运作与预防,可以参考《网路攻击》文章。】

 

该如何预防社交工程攻击?

从上述的攻击手法可见,预防社交工程最好的方式就是提高警觉,不要轻易相信收到的讯息,也不要冒然採取内容中建议的行动。但除此之外还可以怎么做呢?以下整理了 6 种预防社交工程攻击的具体作法:

 

一、养成良好的网路使用习惯

不造访安全有疑的网站、不打开可疑的电子邮件和其附件、不要用公共电脑、不下载来路不明的盗版软体等等。除此之外,也建议检查电子邮件的寄件人信箱地址和网址是否正确,并且谨慎对待网路上所接受到的资讯:透过另外的管道查证其真实性;注意有没有过多错别字、简体字、不自然的句子,以及是否有意图使人恐惧、担心,还要求採取特定行动。

 

ALL_article_24F17_TegNCZXd47

【不安全连线示意图】

 

二、安装并定期更新资安防护系统

安装防毒软体、弱点扫描系统可以防止电脑被植入恶意病毒,及时缓解部分社交工程威胁。而定期将防毒软体更新到最新版本,让系统能够抵挡最新型的恶意软体攻击。

 

三、避免公开暴露过多自己的资讯

在社群媒体上公布越多私人资讯,骇客越能藉由这些资讯,设计可信度高的鱼叉式钓鱼陷阱,发动社交工程攻击。除此之外,骇客同时可以利用公开在社群媒体上的情报,假冒目标的家人、朋友、同事等等,取得其信任,再加以行骗。

 

四、加密和备份资料

社交工程攻击除了为获取财物,也有看准目标所拥有的资讯而发动的攻击。平时加密电脑中的敏感资料,即使资料不慎外洩,仍有极高的安全性保护。另一方面,定期备份重要资料,避免电脑硬碟遭骇客损毁之时,系统重要功能无法使用。

 

五、不要将不明硬碟连接至电脑

来路不明的 USB 随身碟或行动硬碟,甚至是现在少见的光碟片,可能内藏恶意软体,一旦连接至电脑就会立即将其感染。对于来源不明的硬碟,建议保持一定警戒心。同时,可以关闭电脑自动执行(AutoRun)功能,避免电脑在读取到外接硬碟或光碟时,立即开始自动读取其内容。

 

六、採取多因子认证(MFA)机制

多因子认证加强身份认证机制的安全性,除了传统的帐号密码以外,提供其他身份验证因子,包含生物识别、硬体凭证、简讯验证码等等。让进入系统多一道防护,降低未授权存取或身份盗用的风险。

 

社交工程攻击实例

除了遵循最佳做法以外,多了解实际社交工程攻击案例与样貌,也能协助个人和企业提升对于此类网路攻击的警戒心,降低其危害或后果的严重性。以下整理了假冒美国劳工部的网路钓鱼事件,和骇客所使用的伎俩。

 

2021 年下半,出现骇客伪装成美国劳工部,广发政府案件招标电子邮件,并在其中夹带钓鱼网站连结,藉此窃取来投标的公司之敏感资讯和登入资料。

 

无论是信件内容,还是寄件者的地址,都经过骇客的精心伪装。内有劳工部的 Logo,并模仿政府文件的格式,且附上标案编号。寄件地址也依照常见的规则设计成 no-reply@dol-gov[.]com、no-reply@dol-gov[.]us、no-reply@bids-dolgov[.]us 等。

 

初步取得目标信任后,骇客在邮件中要求受害者下载一份 3 页仿造政府文件的 PDF 档案,并在其中夹带钓鱼网站的连结,诱骗目标点击。盗版钓鱼网站遵循常见的网址建立原则,于其中包含「政府(gov)」以及「招标(bid)」等相关字词,并无不合逻辑之处或鱼目混珠的相似字母。因此不熟悉正版政府招标网站的目标,容易就上当受骗。此次社交工程攻击中,骇客使用的网址有:

  • opendolbid[.]us

  • usdol-gov[.]com

  • bid-dolgov[.]us

  • us-dolbids[.]us

  • dol-bids[.]us

  • openbids-dolgov[.]us

 

骇客甚至直接复制正版网站的 HTML 和 CSS 程式码到自己的钓鱼网站,使其看起来与正版网站无异。然而,受害者点击「投标」按钮,依萤幕要求输入公司微软系统或其他电子邮件系统的帐号密码后,骇客就可以成功窃取登入资料了。

 

社交工程因为技术门槛较低而氾滥成灾,无论是个人还是企业都可能不慎掉入陷阱。以「防人之心不可无」的态度,在面对十万火急的情况保持警觉性,并善用适当资安防护产品,是远离社交工程攻击的不二法门。晟崴科技提供多种能加强防范社交工程的产品与服务:

 

协助您将社交工程攻击的伤害降到最低,欢迎随时与我们联络!

相关信息

XDR 是什么?延伸式侦测及回应提供了哪些资安保障?

XDR 是什么?延伸式侦测及回应提供了哪些资安保障?

XDR 能够整合多个资安技术,扩大资安监控范围,并提供自动化回应机制,帮助企业更有效地防御资安攻击。本文将深入探讨 XDR 的运作方式、优势,帮助企业了解如何导入 XDR 来强化资安防御。

双因子认证(2FA)是什么?两步骤身份验证如何确认安全性

双因子认证(2FA)是什么?两步骤身份验证如何确认安全性

双因子认证(2FA)在现代资安中扮演了重要角色。本文将介绍 2FA 的基本概念、运作原理,以及与 MFA 和无密码登入的差别,协助企业选择最适合的验证方式来保护资料安全。

WAF 是什么? 3 大类型 WAF 保护网页不受攻击

WAF 是什么? 3 大类型 WAF 保护网页不受攻击

Web 应用程式防火墙(WAF)为了保护 Web 应用程式的资安而诞生。本篇文章将深入介绍 WAF,其功能和种类,协助您提升企业 IT 安全,保护机敏资讯不外泄、企业营运稳定不中断。

联系我们
联系我们

CONTACT US

联络我们的专业团队,解答您的所有疑虑与需求!


本网站使用 Cookie 来提升您的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定,或是按一下「全部接受」即代表您同意採用目前的设定。

管理Cookies

隐私权偏好设定中心

本网站使用 Cookie 来提升您的使用体验、协助我们分析网站效能和使用状况,以及让我们投放相关联的行销内容。您可以在下方管理 Cookie 设定,或是按一下「全部接受」即代表您同意採用目前的设定。

查看政策

管理同意设置

必要的Cookie

一律启用

网站运行离不开这些 Cookie 且您不能在系统中将其关闭。通常仅根据您所做出的操作(即服务请求)来设置这些 Cookie,如设置隐私偏好、登录或填充表格。您可以将您的浏览器设置为阻止或向您提示这些 Cookie,但可能会导致某些网站功能无法工作。

数字验证

请由小到大,依序点击数字