社交工程的運作原理~好奇心是最大的安全漏洞

什麼是社交工程陷阱

社交工程陷阱( Social Engineering)是種騙人的藝術,網路犯罪份子喜歡利用它來將你的錢轉到他們的黑手上。今天的世界裡已經變成為利益導向,網路犯罪份子感興趣的不再是搞破壞所帶來的名氣,而是你的錢。

比多數侵入式的惡意軟體攻擊更可怕的是,社交工程陷阱攻擊更加難以防禦。為什麼呢?因為他們針對的是你這個人,而不只是系統。

對抗這類威脅,保護自己最有效的方法莫過於要了解它們。知道該注意什麼、避免什麼跟小心什麼。

社交工程陷阱這個名詞來自駭客出身的資安顧問 – Kevin Mitnick,它是種引誘人們做出本意不想的行為,或是給出機密資料。

來源:https://en.wikipedia.org/wiki/Social_engineering_(security)

大消息可能是假消息

那些被大肆報導的事情,像是嚴重的天災,或是推出備受矚目的產品、服務等,總是會引起人們的大量關注。那些可以上網的人很自然地就會在網路上來找相關的訊息。但是他們不知道(或許也不關心),網路罪犯們也設下了陷阱在等他們。

你會看到社群媒體上出現內含非常吸引人的影片或照片連結的帖子

你沒看到的是:網路犯罪份子會抓緊時間來鋪設陷阱,也就是惡意網站,在每一次大事件發生時都會抓到許多的獵物。這些網站通常都會帶有惡意軟體,能夠自動地在你的電腦上肆虐。有些會將你重新導向問卷調查或是廣告網站,但就是不會真的給你它說要提供的東西。

你要小心什麼:連往假新聞網站或網頁的惡意連結

 

網路犯罪份子所利用的新聞事件

天然災害

日本311海嘯發生過後的幾分鐘內,內含假防毒軟體假新聞網站就出現在搜尋引擎結果內,準備好攻擊使用者的電腦。

相關文章:
BBC被濫用發輻射警報簡訊 已出現中文版~拒絕日本大地震議題,成為網路犯罪點鈔機(目前為止相關詐騙總整理)
上百個與日本大地震相關網域可能涉及網路釣魚
日本大地震黑心詐騙紛出籠,假新聞,假募款,假臉書分享…

新產品或服務的推出

假的iPad贈品促銷活動透過電子郵件去誘騙受害者給出他們的個人資料。

相關文章:RIP Steve-“紀念賈伯斯,蘋果決定贈送1000 台 iPad,只到 10 月 10 日止”?是臉書詐騙 !

熱門名人成為熱門目標

毫無疑問地,名人相關新聞比任何一種新聞都更被感興趣。它們會有更多的觀眾,大多數是粉絲或是追隨者,也因此得到更多媒體的關注。為了吸引讀者,媒體常不得不利用煽情和誇張來包裝新聞以抓住大眾的眼光。越是令人難以置信的標題,也會吸引越多讀者去讀它。

你會看到:引人注目的標題,連到難以置信的故事或醜聞的連結

你沒看到的是:就跟其他重大新聞一樣,這些連結往往會連向特製的惡意網站,跟媒體一樣地利用名人的故事來吸引人。大多數的詐騙手法都很類似,這些網站往往都帶有惡意軟體,或將受害者重新導向問卷調查或廣告網站。

你要小心什麼:令人不敢相信的標題加上相關影片或照片的連結

被網路犯罪份子利用的名人新聞

醜聞

一篇社群媒體上的帖子說有個足以毀掉小賈斯汀的影片,其實只會將受害者導向他們的問卷調查網站。

相關文章:讓小賈斯汀的演藝生涯劃下句點的影片?利用LinkedIn的Facebook攻擊

 

話題新聞

利用MSN Messenger來散播各種和麥克傑克森之死有關的消息,好誘騙受害者去下載惡意軟體。
相關文章:
麥可.傑克森喪禮照片,被木馬下載器當誘餌
誰殺了Michael Jackson麥可傑克森?打開連結看答案」木馬準備偷個資 (Facebook, Amazon ,Flicker, Youtube 皆列入攻擊名單)
麥可傑克森是被醫生謀殺的?MSN 病毒搶在法醫前公布死因真相

假死訊

假新聞網站散佈成龍死訊的謠言,結果是將受害者重新導向一個惡意網站。

相關文章:從[成龍之死]看惡作劇新聞的傳播力與預防之道

和你的朋友保持親近,遠離你的敵人

每天都有數以百萬計的使用者湧向自己喜歡的社群網站。因此會出現社群網路詐騙攻擊也就並不奇怪了,在某方面來說,在社群媒體平台上使用騙人的手法已經司空見慣了。

你會看到:有關社群媒體新功能的限時廣告帖子,出現可疑的程式碼必須複製貼上到瀏覽器地址列,或是需要下載並安裝應用程式

你沒看到的是:這些可疑的程式碼或應用程式通常會導向惡意網頁,想要騙取使用者的帳號,竊取個人資料,或是通過使用者帳號來散播出去。

你要小心什麼:連到新功能或應用程式下載網站的可疑連結

網路犯罪份子做出的社群媒體詐欺攻擊

利用時事

一篇社群媒體帖子說會提供情人節主題,而不是強迫受害者去為Chrome和Firefox瀏覽器去下載並安裝惡意的擴充功能。

相關文章:想更換Facebook情人節專屬布景嗎?小心上網被監視

新功能

一個假Twitter的應用程式宣稱能夠監視受害者關注者的活動,而不是讓壞人盜取他們的帳號。

相關文章:好奇誰取消關注你的 Twitter?點下去你成垃圾大王

電腦犯罪分子總是會想嚇得你交出一切

恐懼是種很強的推力,這點犯罪分子也知道。這也是為什麼他們會用威脅和危言聳聽的言語來讓你交出他們想要的個人資料,或是你血汗錢的一部分。

你會看到:可疑的電子郵件會偽裝成緊急通知,大部分跟系統或金融安全有關,需要你立即採取行動 – 查看附件檔,購買應用程式,或是進行網路交易

你看不到的是:這些威脅就像是壞人拿槍抵著你的背部,好拿走你的錢和其他的貴重物品。不管他們講的多麼可怕,但除非你落入陷阱,不然通常不會造成那樣的傷害。

你要小心什麼:嚇人的電子郵件主旨和內容,要求你去做某件事或是承擔某些後果

網路犯罪份子用過的嚇人手法

勒索

俄羅斯使用者要支付約15美元給威脅他們的壞人,因為他們看了不該看的內容。

相關文章:https://blog.trendmicro.com/another-russian-ransomware-spotted/

假防毒軟體廠商最為人所知的,就是會利用嚇人的系統中毒警告去誘騙受害者購買無用的應用程式。

相關文章:
假防毒軟體聲稱是Windows自動化更新,可安裝Windows XP的更新
賓拉登死去活來? 賓拉登處決影片?小心夾帶惡意連結
日本大地震黑心詐騙紛出籠,假新聞,假募款,假臉書分享…
網路安全:直接封鎖網址,而非只攔截檔案的重要性
Windows Update 更新後竟出現中毒警告訊息?! 原來是山寨版
韓國開戰 假防毒軟體埋伏幕後 當心”找”麻煩

 

威脅就像季節一般,來來去去

聖誕節或是任何其他被廣泛慶祝的節日,還有「超級杯」或任何流行的體育盛會,這些永遠都是網路犯罪分子最喜愛的誘餌。因此,我們不能總是每次都只在節慶來臨時默默地等著他們的出現。

你會看到:可疑的垃圾郵件和社群媒體帖子趁著節慶或重大體育賽事來促銷令人難以置信的優惠

你看不到的是:裡面所嵌入的連結將會連到特製的網站,會出現惡意軟體或是將使用者重新導向問卷調查或廣告網站,但就是不會真的得到那些優惠。

你要小心什麼:網路交易如果看起來太誘人,往往就不是真的

網路犯罪份子所利用的季節

節慶

一個Facebook騙局說會提供受害者免費的聖誕主題外掛,卻反而會盜用受害者的帳號去散播垃圾訊息。

參考文章:Christmas Theme for Facebook Profile Leads to Malspam
7組聖誕節熱門關鍵字,可能導入惡意連結

 

體育賽事

「超級杯」粉絲在找尋最新消息,而不是想被帶往假防毒軟體的網站。

來源:【奈及利亞 419 詐騙】2010年世界盃足球賽倒數 詐騙搶先開踢

 

社交工程威脅的安全提示

 

將可信的網站加入書籤

人們說,信任是要去爭取來的。對待新網站就該跟對待初次見面的人一樣。就像是你不會相信每個只見過一面的人,所以也不要馬上相信只去過一次的網站。

 

覺得可疑就是有問題

不要點可疑的連結,無論他們提供再怎麼好的消息或優惠。好到難以置信往往就是假的,這點是不會錯的。

 

害怕不是種選項

不要被威脅嚇倒。很多壞人往往會就是靠突然地嚇唬你,讓你做出一些本來不會做的事情。最好的方法就是徹底地無視恐嚇戰術。

 

互相告知

告訴別人你知道些什麼。這樣做也能確保你親朋好友的安全。別讓他們落入網路犯罪份子的陷阱。

 

預防總是勝於治療。

投資有效的安全解決方案,保護你的電腦和資料免於各類威脅。了解並利用常用網站內建的安全功能。像Facebook之類的網站甚至還會提供最新的威脅資訊和小技巧,好讓你可以安全地瀏覽他們的網頁。

來源:https://blog.trendmicro.com/msn-bot-plays-on-controversy-over-michael-jacksons-death/

 

@延伸閱讀

哀悼惠尼休斯頓 Whitney Houston 的惡意影片連結,在臉書散播

《木馬專偷 Word, Excel 文件檔,得手後放雲端》受駭IP 遍佈150 國,含政府、學術界和企業網路
Twitter詐騙: 打開麥當勞禮品卡“#mcdonalds gift card”,成人網站在裡面?!

看更多社交工程陷阱相關案例….

 

免費下載防毒軟體:歡迎試用下載瞭解與試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 即刻免費下載

 

◎ 歡迎加入趨勢科技社群網站