什麼是社交工程(social engineering )?

你可以強化各種防禦措施,但人類的情感可能是整個安全防護體系中最脆弱的一個環節。正如 趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言,「您的許多連線可能都十分安全,唯有椅子和鍵盤之間的這個連線可能造成問題。」

 

社交工程(social engineering )陷阱

社交工程(social engineering )陷阱,通常是利用大衆的疏於防範的小詭計,讓受害者掉入陷阱。該技巧通常以

社交工程技巧:操控人類心理的藝術

社交工程技巧涵蓋許多用以操控人類心理,使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套最常見於 Web 資安威脅攻擊中,利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。此外,社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。

您今天收到了哪些垃圾郵件?

您或許曾受吸引而去閱讀一些您收到的垃圾郵件的標題:「奧運可能取消」、「免持裝置駕駛法」(美國加州的一項法令)、「Google 關鍵字廣告帳戶被停用」,或甚至是較令人難以置信的「水將取代汽油成為新能源」等。可能遭利用的新聞包括最近的政治新聞,熱門的宗教、文化、社會、環保以及科技活動相關新聞,以及政治人物、演員、企業家等知名人士的相關新聞等。而可能遭利用的重大事件包括節日或宗教、政治或社會性質的慶祝活動,以及最近成為眾人目光焦點的重大事件,例如新的政治領袖就任、名人八卦、慘劇、天災等等。

規模龐大的風暴傀儡網路和其他許多目標式 Web 資安威脅一樣都會運用社交工程技巧。在最近一個案例中,網路罪犯便趁著巴西報稅季節大肆散發垃圾郵件,以報稅相關主題的垃圾郵件作為網路釣魚的誘餌。網路罪犯冒用稅務機關的標誌,試圖引誘納稅人中計。在五月中國發生大地震之後,風暴傀儡網路隨即散發中國再度遭地震襲擊的新聞,垃圾郵件如洪水般湧入使用者的收件匣。這些垃圾郵件夾帶一個影片連結,一旦按下之後,便會下載一隻如蟲 (WORM_NUWAR.YH) 變更 PC 的設定,使 PC 成為傀儡網路的成員。[@more@]

無庸置疑:社交工程技巧極為有效

早在病毒問世之際,網路罪犯便開始使用社交工程技巧。雖然電腦威脅不斷進化,但有一個事實從未曾改變:社交工程技巧的有效性。社交工程技巧的成功可歸因於它利用人類先天具有的情感,例如同理心、同情心、好奇及心恐懼等。人們會對運動員的成就讚嘆不已,對病痛感到畏懼,對於遭受天災侵襲的景況心生悲憫。社交工程技巧操弄這些情感,藉此引誘人們採取網路罪犯所期待的行動,以便讓他們的惡毒詭計得逞。

社交工程技巧能夠奏效的原因在於它利用人類輕信他人的天性。輕信他人的天性導致許多人可能成為攻擊行動的受害者。目前已有許多軟硬體能有效防範各式各樣的網路威脅。然而,整個防護體系中最脆弱的一個環節也是最可能遭受攻擊之處。就此而言,這個最脆弱的環節指的就是 PC 使用者。正如 趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言,「您的許多連線可能都十分安全,唯有椅子和鍵盤之間的這個連線可能造成問題。」

社交工程技巧的演進

雖然社交工程技巧已經流傳多年,但仍一再被利用,並且不斷演進。各式各樣的資安威脅,包括許多類型的 Web 資安威脅在內,都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在,蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言,利用各地的重大事件或新聞為誘餌,使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測,同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家,這種方式可能特別有效。

什麼是社交工程惡意程式?

社交工程惡意程式專門假冒其他軟體和/或隱藏在其他軟體之內,引誘使用者下載並安裝該軟體,藉此趁機安裝惡意軟體。社交工程惡意程式不論對個人或對公司都會造成嚴重的風險,進而導致機密資訊遭盜用竊取、損毀或外流。

由於今經由網頁感染的惡意程式佔所有惡意程式的50% 以上,因此這類威脅必須透過更精良的技術和資源來防範,而這也是桌上型電腦資訊安全產品目前努力的方向。

 

@延伸閱讀:
社交工程的運作原理~好奇心是最大的安全漏洞
微網誌成社交工程陷阱新寵(含2007-2009主要事件一覽表)

 更多社交工程陷阱 相關案例

 

歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 即刻免費下載

發表迴響