社交工程是什么？遇到网路钓鱼怎么办？

社交工程（Social Engineering）是什么？

「社交工程（Social Engineering）」一词源自社会学，在资讯安全领域中，用来指称透过影响别人心理，以骗取敏感资料、入侵资讯系统、进行诈欺等的信任骗局。社交工程攻击的目标是人，可以说最不需要专业技术的网路攻击方式之一。社交工程仰赖骇客直接与受害者对话，利用人性弱点创造出虚假的情境以激发受害者的情绪，例如贪心、恐惧、焦虑、好奇、同情心、正义感、信任感等，再诱使受害者採取特定行动。缺乏警觉性的情况下，受害者很可能就被骇客牵着鼻子走，引发资料外洩和未授权存取等资安问题。

电话、简讯、电子邮件、社交媒体和网站，只要是可以当作人与人之间沟通的工具，都可能成为社交工程攻击的渠道。例如假扮资安人员的来电、伪装成长官的电子信件、冒充知名公司的网站等，诱使目标点击来路不明的连结，再进行下一步的诈欺计画。

通常社交工程攻击可以分为四个阶段：「调查阶段（Investigation）」、「引诱阶段（Hook）」、「玩弄阶段（Play）」和「结束阶段（Exit）」。 

1. 调查阶段：骇客首先选定攻击目标，接着调查目标的背景、收集有关情报。根据资料，设计出针对目标的社交工程骗局。目标可大可小，从个人网路使用者到大型企业，或单一至多个目标。

2. 引诱阶段：下一步，骇客接近目标。以透过捏造出来的情境，主导和目标互动的过程，骗取其信任后控制对方。

3. 玩弄阶段：目标开始听命于自己后，骇客便展开社交工程攻击中的「攻击」，引诱目标在不自觉的情况下协助骇客入侵系统或洩漏机密资料。

4. 结束阶段：最后骇客目的达成时，便以自然、不令人起疑的方式终止与目标的互动，并抹除自己的踪迹，减少事后被追查的可能性。

5.  结束之后，骇客可以再重新开始新的社交工程诈骗，寻找新的受害者进行攻击。

常见的社交工程攻击类型：

一、钓鱼（Phishing）

钓鱼透过网路和电信沟通渠道，广泛传送恶意连结或恶意软体，在讯息内容中制造紧张感或迫切感，企图诱使受害者点击连结，自行洩漏敏感资讯或下载档案，以此方法入侵资讯系统。例如帐户被盗用，要求目标在时限内于信件中连结的网站更改密码；在购物网站的付款设定有误，需前往另一网页依照指示取消扣款设定等等。

钓鱼可以说是最普遍的社交工程攻击手法，根据 Statista 统计，2023 年第二季全球有约 128 万个不同的恶意钓鱼网站。而目前最常被骇客利用来进行钓鱼沟通渠道为电子邮件、简讯、即时通讯软体和钓鱼网站。

【钓鱼范例示意图】

为取得受害者信任，骇客通常利用相似的文字、字元编码规则或增删网址文字和更改排列顺序，假造难以辨识的盗版电子邮件信箱或盗版网站网址。 

• 相似的字形：如数字「0」和「1」，取代字母「o」和「l」，或以字母「r」和「n」、「v」和「v」，替代字母「m」、「w」等。骇客可能引诱受害者到「arnazon[.]com」，而非正版的「amazon[.]com」。如果没有多留心，很容易没注意到其中差异。

• 字元编码规则：譬如拉丁字母和西里尔字母有许多字母外形极为相似，但在通用字元编码中有不同的代码，像是拉丁字母小写「p」编码为「U+0070」，西里尔字母小写「р」编码为「U+0440」。因此人眼中看起来相同的网址，电脑会解读成不同的网站，例如「paypal[.]com/tw/home」和「рayрal[.]com/tw/home」肉眼看起来一模一样。

• 更改网址：除了上面两种仿冒网域的方式以外，骇客还可能藉着目标不一定熟悉正版网站网址，使其上当受骗。例如，正版的银行网址为「ctbcbank[.]com」，骇客在钓鱼讯息中则是提供「ctbc[.]com」、「ctbcbanks[.]com」、「ctbcbanking[.]com」等假网址。

二、鱼叉式钓鱼（Spear Phishing）／捕鲸攻击（Whaling）

鱼叉式钓鱼和捕鲸攻击皆为钓鱼攻击的变形，差别在于骗局的复杂程度和受害目标类别。 

相比于乱枪打鸟的一般钓鱼，鱼叉式钓鱼只锁定单一目标，针对性更高，内容客制化程度也更高。骇客需要花大量时间深入研究目标背景资讯，熟悉内部情报，以设计出说服力高的骗局。鱼叉式钓鱼的目标多为企业组织，透过企业组织中的员工入侵系统或进行大规模诈骗。

2013-2015 年间，立陶宛男子伪装成台湾广达电脑，伪造网站、电子信箱、合约等文件，寄付款通知给 Google 和 Facebook 及其子公司，诈骗逾 1 亿美元。由于 Google 和 Facebook 长期和广达有大金额的交易，收到鱼叉式钓鱼信件的员工不疑有他匯款至指定帐户。

捕鲸攻击同样也高客制化、高针对性，差别在于其锁定的对象为知悉企业重要资讯的高阶主管，比如 CEO、CFO 等。在捕鲸攻击中，骇客创造个人化的钓鱼讯息，在讯息内容中加入目标职衔、电话等公开资讯。为了降低目标的警戒心，骇客会多次和受害者来回互动，再开始行骗。

2020 年 9 月，澳洲避险基金公司 Levitas Capital 的共同创办人点击了假造的 Zoom 会议邀请连结，骇客藉此在 Levitas Capital 的系统中安装恶意软体，并入侵其电子邮件系统。以 Levitas Capital 的名义大量寄出伪造的付款通知给其信託公司 AET Corporate Trust，再由 AET Corporate Trust 同意付款，将付款动作交予金融机构 Apex Group 执行。由于 Levitas Capital 的电子邮件系统已被入侵，骇客接着使用创办人的信箱寄信授权 Apex 完成匯款。因为此次社交工程攻击事件，Levitas Capital 损失 8 百万和最大客户，最终不得不结束公司营运。

三、下饵（Baiting）

下饵着重在利用人的好奇心或是贪念发动攻击，骇客假意承诺目标某些好处，待其主动上钩，让骇客有机会窃取财物或置入恶意软体。下饵概念和钓鱼雷同，但手法不限于网路和电信通讯，骇客也可能透过实体媒介执行下饵类型的社交工程攻击。

比方说，骇客将感染恶意软体的 USB 随身硬碟置于某企业内部，没有警戒心、不知情的员工发现后，可能将其连接至公司设备。骇客便可以入侵整个公司系统。

四、假託（Pretexting）

骇客冒充目标信任的人，如家人、朋友、同事等等，针对目标创造完整的情境。在整个互通过程中保持人设，让目标完全信任自己，最后诱骗受害者前往钓鱼网站、下载恶意软体、自行透露机密资讯或让骇客进入公司系统。例如骇客可能在假託攻击中，假扮为外部 IT 审查人员进入公司实体办公室或假扮为人资人员，再锁定企业的高阶主管。

五、尾随（Tailgating）

尾随主要发生于现实世界，指骇客在未授权的情况下进入管制区域后，进行犯罪活动，包含窃取资料、损害财物、置入恶意软体等等。生活中，帮忙后面的人开门是一种礼貌。骇客就是利用一般人的善意，入侵限制区域。举例来说，骇客可能在企业出入口紧跟随于员工身后，趁员工进入公司，门尚未关闭之时突破门禁管制。

六、恐吓软体（Scareware）

骇客利用恐吓软体，引发目标恐惧和慌张的情绪，然后乘虚而入、操控目标。恐吓软体可以大量向目标发送假警告，例如中勒索病毒警讯，让受害者以为自己陷入资安危机。再建议受害者下载安装其他伪装成扫毒软体的恶意软体，或联络假扮成资安人员的骇客。

【想更进一步瞭解网路攻击如何运作与预防，可以参考《网路攻击》文章。】

该如何预防社交工程攻击？

从上述的攻击手法可见，预防社交工程最好的方式就是提高警觉，不要轻易相信收到的讯息，也不要冒然採取内容中建议的行动。但除此之外还可以怎么做呢？以下整理了 6 种预防社交工程攻击的具体作法：

一、养成良好的网路使用习惯

不造访安全有疑的网站、不打开可疑的电子邮件和其附件、不要用公共电脑、不下载来路不明的盗版软体等等。除此之外，也建议检查电子邮件的寄件人信箱地址和网址是否正确，并且谨慎对待网路上所接受到的资讯：透过另外的管道查证其真实性；注意有没有过多错别字、简体字、不自然的句子，以及是否有意图使人恐惧、担心，还要求採取特定行动。

【不安全连线示意图】

二、安装并定期更新资安防护系统

安装防毒软体、弱点扫描系统可以防止电脑被植入恶意病毒，及时缓解部分社交工程威胁。而定期将防毒软体更新到最新版本，让系统能够抵挡最新型的恶意软体攻击。

三、避免公开暴露过多自己的资讯

在社群媒体上公布越多私人资讯，骇客越能藉由这些资讯，设计可信度高的鱼叉式钓鱼陷阱，发动社交工程攻击。除此之外，骇客同时可以利用公开在社群媒体上的情报，假冒目标的家人、朋友、同事等等，取得其信任，再加以行骗。

四、加密和备份资料

社交工程攻击除了为获取财物，也有看准目标所拥有的资讯而发动的攻击。平时加密电脑中的敏感资料，即使资料不慎外洩，仍有极高的安全性保护。另一方面，定期备份重要资料，避免电脑硬碟遭骇客损毁之时，系统重要功能无法使用。

五、不要将不明硬碟连接至电脑

来路不明的 USB 随身碟或行动硬碟，甚至是现在少见的光碟片，可能内藏恶意软体，一旦连接至电脑就会立即将其感染。对于来源不明的硬碟，建议保持一定警戒心。同时，可以关闭电脑自动执行（AutoRun）功能，避免电脑在读取到外接硬碟或光碟时，立即开始自动读取其内容。

六、採取多因子认证（MFA）机制

多因子认证加强身份认证机制的安全性，除了传统的帐号密码以外，提供其他身份验证因子，包含生物识别、硬体凭证、简讯验证码等等。让进入系统多一道防护，降低未授权存取或身份盗用的风险。

社交工程攻击实例

除了遵循最佳做法以外，多了解实际社交工程攻击案例与样貌，也能协助个人和企业提升对于此类网路攻击的警戒心，降低其危害或后果的严重性。以下整理了假冒美国劳工部的网路钓鱼事件，和骇客所使用的伎俩。

2021 年下半，出现骇客伪装成美国劳工部，广发政府案件招标电子邮件，并在其中夹带钓鱼网站连结，藉此窃取来投标的公司之敏感资讯和登入资料。

无论是信件内容，还是寄件者的地址，都经过骇客的精心伪装。内有劳工部的 Logo，并模仿政府文件的格式，且附上标案编号。寄件地址也依照常见的规则设计成 no-reply@dol-gov[.]com、no-reply@dol-gov[.]us、no-reply@bids-dolgov[.]us 等。

初步取得目标信任后，骇客在邮件中要求受害者下载一份 3 页仿造政府文件的 PDF 档案，并在其中夹带钓鱼网站的连结，诱骗目标点击。盗版钓鱼网站遵循常见的网址建立原则，于其中包含「政府（gov）」以及「招标（bid）」等相关字词，并无不合逻辑之处或鱼目混珠的相似字母。因此不熟悉正版政府招标网站的目标，容易就上当受骗。此次社交工程攻击中，骇客使用的网址有：

• opendolbid[.]us

• usdol-gov[.]com

• bid-dolgov[.]us

• us-dolbids[.]us

• dol-bids[.]us

• openbids-dolgov[.]us

骇客甚至直接复制正版网站的 HTML 和 CSS 程式码到自己的钓鱼网站，使其看起来与正版网站无异。然而，受害者点击「投标」按钮，依萤幕要求输入公司微软系统或其他电子邮件系统的帐号密码后，骇客就可以成功窃取登入资料了。

社交工程因为技术门槛较低而氾滥成灾，无论是个人还是企业都可能不慎掉入陷阱。以「防人之心不可无」的态度，在面对十万火急的情况保持警觉性，并善用适当资安防护产品，是远离社交工程攻击的不二法门。晟崴科技提供多种能加强防范社交工程的产品与服务：

• 端点安全防护系统

• 文件加密系统

• MDR威胁侦测应变服务

• 资安弱点通报机制

• 多因子认证服务（MFA）

• 弱点扫描服务

协助您将社交工程攻击的伤害降到最低，欢迎随时与我们联络！