資安專欄

社交工程是什麼?該如何防範?

更新於

什麼是社交工程?

社交工程(Social Engineering)是指攻擊者用簡單的溝通和欺騙技巧,利用人性的弱點,如信任、貪念或恐懼來誘導個人或團體,獲取機敏資料、金錢或達成其他不正當目的的行為。

惡意人士不需要像駭客一樣具備網路相關的專業技術,只要受害者對社交工程沒有足夠的認知,就能輕易地避開所有資安防護設備獲取各種資料,其損害與威脅完全不亞於專業駭客的攻擊。

常見的社交工程攻擊手法

社交工程能輕易突破人心的防禦

以下列出一些常見的攻擊手段:

釣魚攻擊(Phishing)

釣魚攻擊是最常見的社交工程手段,攻擊者偽裝成可信任的組織,如銀行、社交媒體平台或知名公司,來發送電子郵件、簡訊或消息。這些郵件或消息看起來就像真的一樣,通常會要求收件人點擊連結或提供個人訊息,並寫一些緊急或吸引人的內容,當受害者按照指示操作後,攻擊者就可以盜取其個人訊息或財務資料。

例如,受害者在國外出差,過程中需郵寄重要的貨物回國,但收到了不明 email 或簡訊,一開始可能只是要求更改包裹退件地址,改完之後再說需要低廉的手續費,不在期限內繳交包裹就會被退件。這個例子巧妙地利用受害者人身地不熟與害怕工作失敗的心理弱點。

而釣魚攻擊更衍伸出針對性更強、更不易辦別的⿂叉式攻擊(Spear phishing)、商務電子郵件入侵(BEC)等模式。⿂叉式攻擊會根據目標的防禦機制而量身定制詐騙的內容,BEC 則會先入侵目標的人資部門,取得高層的 email 帳戶後,再假扮成高層向員工傳送 email 指示他們做出不正當目的的行為。

下餌(Baiting)

此種攻擊利用人們的好奇心或貪念,例如會在公共場所放置看似無害的物品(如標有公司認證的免費防毒軟體的 USB 或光碟),一旦有人將這些裝置插入電腦,就會在不知不覺中安裝惡意軟體,導致資料外洩或遭受攻擊。

等價交換(Quid pro quo)

在這種攻擊中,攻擊者假裝成某個可信任的人或機構,如公司高層、IT 人員或客戶,以誤導受害者進行某些行動。

例如,攻擊者偽裝成公司內部人員或者問卷調查人員,要求對方提供帳號密碼等重要資訊或執行某些操作,並聲稱會提供糖果或其他誘惑。這種攻擊通常對受害者或其所在組織有一定的了解,讓偽裝更難被識破。

尾隨入侵(Tailgating或Piggybacking)

尾隨入侵是一種物理安全威脅。在這種情況下,未經授權的攻擊者會跟隨一位有授權進入某個安全區域的人,比如跟在某人後面進入需要門禁卡的大樓或辦公室,攻擊者可能會假裝忘記帶卡或在與受害者閒聊中趁機進入。這種方法利用人們不想得罪人的心理弱點,進而允許攻擊者進入機房等禁區。

持續的騷擾

這種攻擊利用人的焦慮、疲勞或不耐煩來促使他們做出錯誤的決策。

通常,攻擊者會反覆嘗試登入受害者的帳戶,並觸發系統向受害者發送安全警告或登入驗證請求。由於不停地收到通知,受害者會感到困惑,這可能導致他們最終在大腦疲勞的情況下錯誤點擊不應該點擊的按鈕,如「允許」登入,讓攻擊者成功查看並使用帳戶。

社交工程的案例與嚴重性

台灣有高達四成的民眾每週都會遇到詐騙,且不止一般名眾,企業也是如此。台灣已出現多起鎖定客服人員的釣魚郵件,由於具備高品質且在地化的內容,更容易讓不知情的企業員工開啟附件,造成惡意程式側錄受害者電腦的帳號密碼,或是散布病毒勒索企業、竊取公司機密的下場。

而國外也是如此,微軟研究人員表示,一個駭客團體佯裝成技術支援人員,並鎖定數十個有一定規模的組織,在 Teams 與用戶聊天,藉此企圖取得他們批准多重要素驗證(MFA,Multi-factor Authentication),一旦成功,許多企業機密將不翼而飛。

Uber 也曾被社交工程讓攻擊者取得公司內部的登入資訊,再於 WhatsApp 上假冒 Uber IT 人員和受騙員工對話,進而取得兩步驟驗證碼的存取權成功進入內網,找尋到許多具有極高權限的登入資訊,再利用這些資訊存取 Uber 內部各項系統,並公開各內部系統的螢幕擷圖,包含內部財務系統等機密資訊。

另外,例如 Booking、Twilio、Shein 等知名公司也都曾被攻擊或冒用身分,客戶與企業皆有受害,可見社交工程的嚴重程度是全球性的。

簡易的識別方法

由於詐騙的手法越來越多元,社交工程攻擊也越來越難分辨,不過還是有一些簡單的方法可以過濾掉一些威脅:

  • 來自陌生人不請自來的訊息。
  • 內容看似十分緊急,需要你馬上處理,否則就會發生什麼事。
  • 要求你點擊連結或開啟附件。
  • 內文包含許多拼寫錯誤或文法錯誤。
  • 對方試圖從你那裡獲取個人資訊。
  • 對話時帶著強烈的緊迫感或攻擊性。
  • 冷靜查證對方身分的真實性。
  • 不要輕易使用「懶人包」與未授權的軟體。
  • 釣魚網站模仿功力幾可亂真,瀏覽時務必小心檢查網址。

如何防範社交工程攻擊?

防範社交工程,關鍵在於「提升安全意識」和「落實資安政策」。

首先,定期培訓員工安全意識與社交工程攻擊演練,可以幫助員工識別和應對潛在的社交工程威脅。

接著,落實授權控制和嚴謹的電子郵件處理規則等安全政策,防止未經授權的請求以減少資訊外洩的風險。

除了這些培訓和政策外,加強物理安全措施也不容忽視。設置門禁管制並嚴格落實,可以防止未經授權的人員進入特定區域,進而降低內部威脅的發生的機率。

最後,建立一套緊急應變計畫,計畫需包含如何識別攻擊、誰是主要負責人以及如何安全地傳遞機密訊息,提高危機應變能力並減輕社交工程造成的損害。

結語

隨著科技越來越進步,尤其是 AI 技術,攻擊手法將更加多樣化。根據 Statista 的預估,全球企業在資安所投入的安全成本預計在 2023 年至 2028 年將持續成長至 5.7 兆美元(+69.94%),且在 2028 年達到 13 兆美元,顯見詐騙與駭客攻擊的情況只會越來越頻繁。

然而,只用錢也無法有效抵禦社交工程,員工若對安全防護的認知不足,再多的軟硬體設備也是枉然,攻擊者也許只要一通電話或一封 email 就能突破企業的資訊安全網。

面對社交工程,人性的防火牆也很重要。從技術、管理、演練和教育多方面防範,建立全面的資訊安全防護機制,才是最有效的方法。

閱讀更多