社交工程是什么?遇到网路钓鱼怎么办?
五花八门的网路攻击中,大部分针对电脑资讯系统本身。但社交工程攻击是少数的例外,骇客将操纵人性融入到网路攻击手法里面。利用人的情绪来入侵电脑、窃取重要资料,进一步进行网路犯罪。而社交工程如何进行呢?有哪些不同的社交工程攻击手法?又该如何防范?本文将带您深入认识社交工程和实际案例,以及该如何预防、将伤害降至最低。
社交工程(Social Engineering)是什么?
「社交工程(Social Engineering)」一词源自社会学,在资讯安全领域中,用来指称透过影响别人心理,以骗取敏感资料、入侵资讯系统、进行诈欺等的信任骗局。社交工程攻击的目标是人,可以说最不需要专业技术的网路攻击方式之一。社交工程仰赖骇客直接与受害者对话,利用人性弱点创造出虚假的情境以激发受害者的情绪,例如贪心、恐惧、焦虑、好奇、同情心、正义感、信任感等,再诱使受害者採取特定行动。缺乏警觉性的情况下,受害者很可能就被骇客牵着鼻子走,引发资料外洩和未授权存取等资安问题。
电话、简讯、电子邮件、社交媒体和网站,只要是可以当作人与人之间沟通的工具,都可能成为社交工程攻击的渠道。例如假扮资安人员的来电、伪装成长官的电子信件、冒充知名公司的网站等,诱使目标点击来路不明的连结,再进行下一步的诈欺计画。
通常社交工程攻击可以分为四个阶段:「调查阶段(Investigation)」、「引诱阶段(Hook)」、「玩弄阶段(Play)」和「结束阶段(Exit)」。
-
调查阶段:骇客首先选定攻击目标,接着调查目标的背景、收集有关情报。根据资料,设计出针对目标的社交工程骗局。目标可大可小,从个人网路使用者到大型企业,或单一至多个目标。
-
引诱阶段:下一步,骇客接近目标。以透过捏造出来的情境,主导和目标互动的过程,骗取其信任后控制对方。
-
玩弄阶段:目标开始听命于自己后,骇客便展开社交工程攻击中的「攻击」,引诱目标在不自觉的情况下协助骇客入侵系统或洩漏机密资料。
-
结束阶段:最后骇客目的达成时,便以自然、不令人起疑的方式终止与目标的互动,并抹除自己的踪迹,减少事后被追查的可能性。
-
结束之后,骇客可以再重新开始新的社交工程诈骗,寻找新的受害者进行攻击。
常见的社交工程攻击类型:
一、钓鱼(Phishing)
钓鱼透过网路和电信沟通渠道,广泛传送恶意连结或恶意软体,在讯息内容中制造紧张感或迫切感,企图诱使受害者点击连结,自行洩漏敏感资讯或下载档案,以此方法入侵资讯系统。例如帐户被盗用,要求目标在时限内于信件中连结的网站更改密码;在购物网站的付款设定有误,需前往另一网页依照指示取消扣款设定等等。
钓鱼可以说是最普遍的社交工程攻击手法,根据 Statista 统计,2023 年第二季全球有约 128 万个不同的恶意钓鱼网站。而目前最常被骇客利用来进行钓鱼沟通渠道为电子邮件、简讯、即时通讯软体和钓鱼网站。
【钓鱼范例示意图】
为取得受害者信任,骇客通常利用相似的文字、字元编码规则或增删网址文字和更改排列顺序,假造难以辨识的盗版电子邮件信箱或盗版网站网址。
-
相似的字形:如数字「0」和「1」,取代字母「o」和「l」,或以字母「r」和「n」、「v」和「v」,替代字母「m」、「w」等。骇客可能引诱受害者到「arnazon[.]com」,而非正版的「amazon[.]com」。如果没有多留心,很容易没注意到其中差异。
-
字元编码规则:譬如拉丁字母和西里尔字母有许多字母外形极为相似,但在通用字元编码中有不同的代码,像是拉丁字母小写「p」编码为「U+0070」,西里尔字母小写「р」编码为「U+0440」。因此人眼中看起来相同的网址,电脑会解读成不同的网站,例如「paypal[.]com/tw/home」和「рayрal[.]com/tw/home」肉眼看起来一模一样。
-
更改网址:除了上面两种仿冒网域的方式以外,骇客还可能藉着目标不一定熟悉正版网站网址,使其上当受骗。例如,正版的银行网址为「ctbcbank[.]com」,骇客在钓鱼讯息中则是提供「ctbc[.]com」、「ctbcbanks[.]com」、「ctbcbanking[.]com」等假网址。
二、鱼叉式钓鱼(Spear Phishing)/捕鲸攻击(Whaling)
鱼叉式钓鱼和捕鲸攻击皆为钓鱼攻击的变形,差别在于骗局的复杂程度和受害目标类别。
相比于乱枪打鸟的一般钓鱼,鱼叉式钓鱼只锁定单一目标,针对性更高,内容客制化程度也更高。骇客需要花大量时间深入研究目标背景资讯,熟悉内部情报,以设计出说服力高的骗局。鱼叉式钓鱼的目标多为企业组织,透过企业组织中的员工入侵系统或进行大规模诈骗。
2013-2015 年间,立陶宛男子伪装成台湾广达电脑,伪造网站、电子信箱、合约等文件,寄付款通知给 Google 和 Facebook 及其子公司,诈骗逾 1 亿美元。由于 Google 和 Facebook 长期和广达有大金额的交易,收到鱼叉式钓鱼信件的员工不疑有他匯款至指定帐户。
捕鲸攻击同样也高客制化、高针对性,差别在于其锁定的对象为知悉企业重要资讯的高阶主管,比如 CEO、CFO 等。在捕鲸攻击中,骇客创造个人化的钓鱼讯息,在讯息内容中加入目标职衔、电话等公开资讯。为了降低目标的警戒心,骇客会多次和受害者来回互动,再开始行骗。
2020 年 9 月,澳洲避险基金公司 Levitas Capital 的共同创办人点击了假造的 Zoom 会议邀请连结,骇客藉此在 Levitas Capital 的系统中安装恶意软体,并入侵其电子邮件系统。以 Levitas Capital 的名义大量寄出伪造的付款通知给其信託公司 AET Corporate Trust,再由 AET Corporate Trust 同意付款,将付款动作交予金融机构 Apex Group 执行。由于 Levitas Capital 的电子邮件系统已被入侵,骇客接着使用创办人的信箱寄信授权 Apex 完成匯款。因为此次社交工程攻击事件,Levitas Capital 损失 8 百万和最大客户,最终不得不结束公司营运。
三、下饵(Baiting)
下饵着重在利用人的好奇心或是贪念发动攻击,骇客假意承诺目标某些好处,待其主动上钩,让骇客有机会窃取财物或置入恶意软体。下饵概念和钓鱼雷同,但手法不限于网路和电信通讯,骇客也可能透过实体媒介执行下饵类型的社交工程攻击。
比方说,骇客将感染恶意软体的 USB 随身硬碟置于某企业内部,没有警戒心、不知情的员工发现后,可能将其连接至公司设备。骇客便可以入侵整个公司系统。
四、假託(Pretexting)
骇客冒充目标信任的人,如家人、朋友、同事等等,针对目标创造完整的情境。在整个互通过程中保持人设,让目标完全信任自己,最后诱骗受害者前往钓鱼网站、下载恶意软体、自行透露机密资讯或让骇客进入公司系统。例如骇客可能在假託攻击中,假扮为外部 IT 审查人员进入公司实体办公室或假扮为人资人员,再锁定企业的高阶主管。
五、尾随(Tailgating)
尾随主要发生于现实世界,指骇客在未授权的情况下进入管制区域后,进行犯罪活动,包含窃取资料、损害财物、置入恶意软体等等。生活中,帮忙后面的人开门是一种礼貌。骇客就是利用一般人的善意,入侵限制区域。举例来说,骇客可能在企业出入口紧跟随于员工身后,趁员工进入公司,门尚未关闭之时突破门禁管制。
六、恐吓软体(Scareware)
骇客利用恐吓软体,引发目标恐惧和慌张的情绪,然后乘虚而入、操控目标。恐吓软体可以大量向目标发送假警告,例如中勒索病毒警讯,让受害者以为自己陷入资安危机。再建议受害者下载安装其他伪装成扫毒软体的恶意软体,或联络假扮成资安人员的骇客。
【想更进一步瞭解网路攻击如何运作与预防,可以参考《网路攻击》文章。】
该如何预防社交工程攻击?
从上述的攻击手法可见,预防社交工程最好的方式就是提高警觉,不要轻易相信收到的讯息,也不要冒然採取内容中建议的行动。但除此之外还可以怎么做呢?以下整理了 6 种预防社交工程攻击的具体作法:
一、养成良好的网路使用习惯
不造访安全有疑的网站、不打开可疑的电子邮件和其附件、不要用公共电脑、不下载来路不明的盗版软体等等。除此之外,也建议检查电子邮件的寄件人信箱地址和网址是否正确,并且谨慎对待网路上所接受到的资讯:透过另外的管道查证其真实性;注意有没有过多错别字、简体字、不自然的句子,以及是否有意图使人恐惧、担心,还要求採取特定行动。
【不安全连线示意图】
二、安装并定期更新资安防护系统
安装防毒软体、弱点扫描系统可以防止电脑被植入恶意病毒,及时缓解部分社交工程威胁。而定期将防毒软体更新到最新版本,让系统能够抵挡最新型的恶意软体攻击。
三、避免公开暴露过多自己的资讯
在社群媒体上公布越多私人资讯,骇客越能藉由这些资讯,设计可信度高的鱼叉式钓鱼陷阱,发动社交工程攻击。除此之外,骇客同时可以利用公开在社群媒体上的情报,假冒目标的家人、朋友、同事等等,取得其信任,再加以行骗。
四、加密和备份资料
社交工程攻击除了为获取财物,也有看准目标所拥有的资讯而发动的攻击。平时加密电脑中的敏感资料,即使资料不慎外洩,仍有极高的安全性保护。另一方面,定期备份重要资料,避免电脑硬碟遭骇客损毁之时,系统重要功能无法使用。
五、不要将不明硬碟连接至电脑
来路不明的 USB 随身碟或行动硬碟,甚至是现在少见的光碟片,可能内藏恶意软体,一旦连接至电脑就会立即将其感染。对于来源不明的硬碟,建议保持一定警戒心。同时,可以关闭电脑自动执行(AutoRun)功能,避免电脑在读取到外接硬碟或光碟时,立即开始自动读取其内容。
六、採取多因子认证(MFA)机制
多因子认证加强身份认证机制的安全性,除了传统的帐号密码以外,提供其他身份验证因子,包含生物识别、硬体凭证、简讯验证码等等。让进入系统多一道防护,降低未授权存取或身份盗用的风险。
社交工程攻击实例
除了遵循最佳做法以外,多了解实际社交工程攻击案例与样貌,也能协助个人和企业提升对于此类网路攻击的警戒心,降低其危害或后果的严重性。以下整理了假冒美国劳工部的网路钓鱼事件,和骇客所使用的伎俩。
2021 年下半,出现骇客伪装成美国劳工部,广发政府案件招标电子邮件,并在其中夹带钓鱼网站连结,藉此窃取来投标的公司之敏感资讯和登入资料。
无论是信件内容,还是寄件者的地址,都经过骇客的精心伪装。内有劳工部的 Logo,并模仿政府文件的格式,且附上标案编号。寄件地址也依照常见的规则设计成 no-reply@dol-gov[.]com、no-reply@dol-gov[.]us、no-reply@bids-dolgov[.]us 等。
初步取得目标信任后,骇客在邮件中要求受害者下载一份 3 页仿造政府文件的 PDF 档案,并在其中夹带钓鱼网站的连结,诱骗目标点击。盗版钓鱼网站遵循常见的网址建立原则,于其中包含「政府(gov)」以及「招标(bid)」等相关字词,并无不合逻辑之处或鱼目混珠的相似字母。因此不熟悉正版政府招标网站的目标,容易就上当受骗。此次社交工程攻击中,骇客使用的网址有:
-
opendolbid[.]us
-
usdol-gov[.]com
-
bid-dolgov[.]us
-
us-dolbids[.]us
-
dol-bids[.]us
-
openbids-dolgov[.]us
骇客甚至直接复制正版网站的 HTML 和 CSS 程式码到自己的钓鱼网站,使其看起来与正版网站无异。然而,受害者点击「投标」按钮,依萤幕要求输入公司微软系统或其他电子邮件系统的帐号密码后,骇客就可以成功窃取登入资料了。
社交工程因为技术门槛较低而氾滥成灾,无论是个人还是企业都可能不慎掉入陷阱。以「防人之心不可无」的态度,在面对十万火急的情况保持警觉性,并善用适当资安防护产品,是远离社交工程攻击的不二法门。晟崴科技提供多种能加强防范社交工程的产品与服务:
协助您将社交工程攻击的伤害降到最低,欢迎随时与我们联络!