甚麼是社交工程?
當我們想到網絡安全時,大多數人都會想到防禦黑客利用技術弱點攻擊資料網絡。但還有另一種方法可以入侵機構和網絡,那就是利用人性的弱點。這就是所謂的社交工程 (social engineering),也就是誘騙他人洩露資訊或允許存取資料網絡。
例如,入侵者可以冒充 IT 服務台人員,要求使用者提供使用者名稱和密碼等資訊。令人驚訝的是,很多人在自願提供這些資訊時都不會三思,尤其是當由看起來像是合法的職員要求提供時。
簡單來說,社交工程就是利用欺騙手段來操控個人,從而能夠存取或令受騙者洩露資訊或資料。
社交工程攻擊的類型
社交工程攻擊有多種類型。因此,瞭解社交工程的定義以及其運作方式非常重要。當你瞭解基本的作案手法後,就更容易發現社交工程攻擊。
誘餌攻擊
誘餌包括製造陷阱,例如載有惡意軟件的 USB 手指。有些人會好奇想看看 USB 手指中有甚麼內容,於是就將 USB 手指插入自己的 USB 磁碟機中,導致系統受到攻擊。事實上,有一種 USB 手指可以摧毀電腦,所用方法是利用 USB 磁碟機的電力為自己充電,然後以猛烈的電流釋放能量,毀壞為它供電的設備(USB 手指的成本只是 54 美元)。
藉口攻擊
這種攻擊使用藉口來吸引受害者注意,並誘使受害者提供資訊。例如,網絡問卷調查一開始可能看起來無害,但後來卻要求提供銀行戶口詳細資料。或是有人拿著剪貼板出現,說他們正在為內部系統進行審計;然而,他們可能並非他們所聲稱的人,而是可能想從你身上竊取有價值資訊的騙子。
網絡釣魚
網絡釣魚攻擊涉及假裝來自受信任來源並要求你提供資訊的電子郵件或短訊。一個著名的類型是聲稱來自銀行的電子郵件,要求客戶「確認」他們的安全資訊,並將他們導向一個偽造的網站,而在那裡他們的登入憑證將會被記錄下來。「魚叉式網絡釣魚」則是針對公司內的單一個人,發送一封聲稱來自公司高層主管的電子郵件,要求提供機密資訊。
語音釣魚和短訊釣魚
這些類型的社交工程攻擊是網絡釣魚的變種 --「語音釣魚」的意思是指簡單地打電話詢問資料。罪犯可能會冒充同事;例如,假裝是 IT 服務台的人員,要求提供登入資訊。短訊釣魚則使用 SMS 訊息來嘗試獲得這些資訊。
交換條件攻擊
大家常說「公平交換並非搶劫」,但在這種情況下,就是搶劫。很多社交工程攻擊會讓受害者相信他們提供的資料或存取權限可以換取某些東西。「恐嚇軟件」就是以這種方式運作,向電腦使用者承諾只要進行更新就能處理某個緊急的安全問題,但事實上,恐嚇軟件本身才是對安全構成惡意的威脅。
向聯絡人發送垃圾郵件和入侵電子郵件
此類型的攻擊涉及入侵某人的電子郵件或社交媒體帳戶,從而取得其聯絡人的存取權限。之後,騙子會告知聯絡人他們的朋友被搶劫並遺失了所有信用卡,然後要求匯錢到某個戶口。或者,「朋友」可能會轉寄「必看影片」,但其實是將你連結至惡意軟件或鍵盤記錄木馬程式。
耕耘與狩獵
最後,請注意有些社交工程攻擊所用的手法是更為先進的。我們所描述的大部分簡單方法都是一種「狩獵」形式。基本上,入侵、獲取資訊,然後離開。
但是,某些類型的社交工程攻擊涉及與目標建立關係,以便在更長的時間內獲取更多資訊。這就是所謂的「耕耘」,對攻擊者而言風險較高,因為他們被發現的機會較大。但是,如果他們的滲透成功,就可以為他門提供更多的資訊。
如何防止社交工程攻擊
社交工程攻擊特別難以對付,因為這些攻擊是專門設計來利用人類的自然特徵,例如好奇心、尊重權威和渴望幫助朋友。有一些提示可以幫助偵測社交工程攻擊...
檢查來源
花點時間想想通訊的來源;不要盲目相信。一個 USB 手指出現在你的桌上,而你不知道它是甚麼?一個突然打來的電話,說你繼承了 500 萬美元的遺產?你的 CEO 發來一封電子郵件,要求你提供大量個別員工的資訊?所有這些聽起來都很可疑,所以你應該以懷疑的態度去處理。
檢查來源並不難。例如,對於電子郵件,請查看電子郵件標題,並與來自同一發件人的有效電子郵件進行核對。查看連結指向的地方 -- 只要將游標停留在超連結上,就很容易發現偽造的超連結(但請勿點擊連結!) 檢查拼寫:銀行有整個合格的團隊專門製作客戶通訊,因此有明顯錯誤的電子郵件就很可能是偽造的。
如果有疑問,請前往官方網站與官方代表聯絡,因為他們可以確認電子郵件/訊息是官方的還是偽造的。
他們知道甚麼?
來源是否沒有你預期會有的資訊,例如你的全名等?請記住,如果是銀行打電話給你,他們應該有所有這些資料,而且在允許你更改戶口資料之前,他們一定會先詢問安全問題。如果他們沒有這樣做,那麼這是一封虛假電子郵件/電話/訊息的機會就會大大增加,你應該提高警覺。
打破循環
社交工程通常依賴緊迫性。攻擊者希望他們的目標不會過度思考發生了甚麼事。因此,只要花點時間思考一下,就可以阻止這些攻擊,或讓他們顯露其虛假的真面目。
撥打官方號碼或使用官方網站的網址,而不是在電話中提供資料或點擊連結。使用不同的通訊方式來檢查來源的可信度。舉例來說,如果你收到朋友寄來的電子郵件,要求你匯錢,請用手機傳短訊給他們或打電話給他們,確認請求是否真的來自他們。
詢問身份證明
最簡單的社交工程攻擊之一,就是繞過保安系統,攜帶一個大箱子或一大堆檔案進入建築物。畢竟,一些樂於助人的人會幫你開門。不要上當。一定要要求出示身份證明文件。
這也適用於其他方法。檢查來電者或詢問者的姓名和號碼:「你的上司是誰?」,這是對索取資訊的人的基本回應。然後,在透露任何私人資訊或個人資料之前,查看一下組織架構圖表或電話簿。如果你不認識索取資訊的人,並且仍不放心透露資訊,請告訴他們你需要與其他人再確認一下,然後你會再回覆他們。
使用良好的垃圾郵件過濾器
如果你的電子郵件程式沒有過濾垃圾郵件或將電子郵件標示為可疑郵件,你可能需要更改設定。良好的垃圾郵件過濾程式會使用各種資訊來判斷哪些電子郵件可能是垃圾郵件。過濾程式可能會偵測到可疑的檔案或連結,也可能有一個可疑 IP 位址或寄件者 ID 的黑名單,或者可能會分析郵件的內容,從而判斷哪些郵件可能是虛假的。
這是真實嗎?
有些社交工程攻擊會嘗試欺騙你的分析能力,花時間評估情況是否真實將有助偵測很多攻擊。舉例來說例如:
- 如果你的朋友真的被困在中國無法離開,他們會給你發電子郵件還是也會給你打電話/發短訊呢?
- 尼日利亞王子會在遺囑中留下一百萬美元給你嗎?
- 銀行會不會打電話來詢問你的戶口資料呢?事實上,很多銀行都會註明是否會發送電子郵件給客戶或致電客戶。因此,如果你不確定,請再三確認
<H3>不要操之過急</H3>
當你在對話中感到有緊迫感時,請特別提高警覺。這是惡意行為者阻止他們的目標仔細考慮問題的標準方式。如果你感到有壓力,請慢慢來不要急。你可以說需要時間來取得資訊、你需要詢問你的經理、你現在沒有合適的詳細資料 -- 任何能夠將事情拖慢並讓自己有時間思考的方式。
大多數時候,如果使用社交工程的人意識到他們已經失去了出其不意的優勢,他們就不會再碰運氣了。
保護你的設備安全
保護設備安全也很重要,因為即使社交工程攻擊成功,也會對其所取得的成功程度有所限制。無論是智能手機、基本家居網絡或大型企業系統,基本守則都是一樣的。
- 確保為你的防惡意軟件和防毒軟件進行更新。這有助於防止透過釣魚電子郵件傳送的惡意軟件自行安裝。使用類似 Kaspersky 的防毒套裝軟件來保護你的網絡和資料安全。
- 定期更新軟件和韌體,尤其是必須安裝安全修補程式。
- 不要對你的手機進行「Rooting(開放根目錄)」,或將你的網絡或電腦設定為管理員模式。即使社交工程攻擊取得你「使用者」帳戶的使用者密碼,他們也不能重新設定你的系統或在系統中安裝軟件。
- 不要在不同的帳戶中使用相同的密碼。如果社交工程攻擊取得你社交媒體帳戶的密碼,你不希望他們也能解鎖你所有其他帳戶。
- 對於重要帳戶,請使用雙重驗證,因為僅有密碼也不足以存取你的帳戶。這可能涉及語音識別、使用安全裝置、指紋或短訊確認代碼。
- 如果你剛剛洩露了帳戶密碼,並認為自己可能已成為「社交工程」的受害者,請立即更改密碼。
- 成為我們資源中心的定期讀者,讓自己掌握最新的網絡安全風險。當新的攻擊方法出現時,你就會對其瞭如指掌,這樣就能大幅降低你成為受害者的可能性。
考慮你的數碼足跡
你可能還需要考慮一下你的數碼足跡。在網上過度分享個人資訊(例如透過社交媒體)可能會幫助攻擊者。例如,很多銀行將「你第一隻寵物的名字」列為可能的安全問題 -- 你是否在 Facebook 上分享了這些資訊呢?如果是的話,你可能會受到攻擊!此外,有些社交工程攻擊會參考你可能在社交網絡分享的近期事件,試圖取得你的信任。
我們建議你將社交媒體設定為「僅限朋友」,並小心你的分享內容。你不需要疑神疑鬼,只要小心行事就足夠。
考慮一下你在網絡上分享的其他生活方面的資訊。舉例來說,如果你有一份網上履歷,你應該考慮刪除你的地址、電話號碼和出生日期 -- 這些資訊對於策劃社交工程攻擊的人來說都很有用。雖然有些社交工程攻擊不會讓受害者深入參與,但有些攻擊則是經過精心籌劃的 -- 盡量減少罪犯獲得可用的資訊。
社交工程非常危險,因為這種攻擊會利用和操控完全正常的情況來達到惡意目的。然而,只要充分瞭解其運作方式,並採取基本的預防措施,你成為社交工程受害者的可能性就會大幅降低。
推薦產品:
相關文章:
