社交工程 - 資安趨勢部落格

什麼是社交工程（social engineering ）陷阱/詐騙?

2019 年 07 月 16 日2021 年 08 月 23 日趨勢科技 TrendMicro

一封冒稱健保局的「二代健保補充保險費扣繳辦法說明」,導致萬筆中小企業個資遭竊;一封偽裝銀行交易紀錄信件,導致南韓爆發史上最大駭客攻擊;996 名公僕因為一封標題為「李宗瑞影片，趕快下載呦！」信件, 以上是因好奇心中了社交工程陷阱著名案例。

你可以強化各種防禦措施，但人類的情感可能是整個安全防護體系中最脆弱的一個環節。正如趨勢科技資安威脅研究專案經理 Jamz Yaneza 所言，「您的許多連線可能都十分安全，唯有椅子和鍵盤之間的這個連線可能造成問題。」

社交工程技巧：操控人類心理的藝術

社交工程技巧涵蓋許多用以操控人類心理，使他們採取特定行動或透露機密資訊的技巧。「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。社交工程圈套利用目前備受矚目的重大事件與新聞作為誘餌，無論是政治、運動、娛樂性質，同時也不分全球性或地區性。此外，社交工程圈套也可能利用日常活動作為誘餌，例如線上理財、投資、帳單管理以及購物等等。

您今天收到了哪些垃圾郵件？

您或許曾受吸引而去閱讀一些您收到的垃圾郵件的標題：

垃圾郵件是藉著博取收件者的信任感所設下的圈套。最近常見的手段即是偽裝成宅配業者寄出不在府通知郵件。例如：「您有包裹未取。詳情請點擊以下網址」等的文字記載」或是讓很多 FB 用戶上當的「 12 小時內不驗證你的 Facebook 帳號,將被永久停權」 ,都在企圖誘導收件者進入不正當的網站，此手法近來頻頻可見。包誇近年大舉入侵全球的勒索病毒 Ransomware (勒索軟體/綁架病毒) 。

這些社交工程信件,常利用熱門政治新聞、宗教、文化、社會、環保以及科技活動相關議題，以及名名人八卦、慘劇、天災等等為散播主旨。
每年報稅期間’網路罪犯總會冒用稅務機關的標誌，試圖引誘納稅人中計。中國發生慘烈的大地震期間，風暴傀儡網路隨即散發中國再度遭地震襲擊的假新聞，垃圾郵件如洪水般湧入使用者的收件匣。這些垃圾郵件夾帶一個影片連結，一旦按下之後，便會下載一隻如蟲 (WORM_NUWAR.YH) 變更受害電腦設定，使之成為傀儡網路的成員。

無庸置疑：社交工程技巧極為有效

早在病毒問世之際，網路罪犯便開始使用社交工程技巧。雖然電腦威脅不斷進化，但有一個事實從未曾改變：社交工程技巧的有效性。社交工程技巧的成功可歸因於它利用人類先天具有的情感，例如同理心、同情心、好奇及心恐懼等。人們會對運動員的成就讚嘆不已，對病痛感到畏懼，對於遭受天災侵襲的景況心生悲憫。社交工程技巧操弄這些情感，藉此引誘人們採取網路罪犯所期待的行動，以便讓他們的惡毒詭計得逞。

社交工程技巧能夠奏效的原因在於它利用人類輕信他人的天性。輕信他人的天性導致許多人可能成為攻擊行動的受害者。目前已有許多軟硬體能有效防範各式各樣的網路威脅。然而，整個防護體系中最脆弱的一個環節也是最可能遭受攻擊之處。就此而言，這個最脆弱的環節指的就是使用者。

社交工程技巧的演進

雖然社交工程技巧已經流傳多年，但仍一再被利用，並且不斷演進。各式各樣的資安威脅，都會使用社交工程技巧。社交工程技巧在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會利用全球性事件或新聞 (例如世界盃足球賽或情人節等) 來引誘使用者。現在，蠕蟲、大量發信程式及其他資安威脅會整合社交工程技巧以鎖定世界上的某個區域或特定國家。網路罪犯可能使用各地的語言，利用各地的重大事件或新聞為誘餌，使特定國家的人產生興趣。這使得運用大規模社交工程技巧的網路罪犯得以躲避偵測，同時還能引發嚴重的災情。在擁有大量新的網際網路使用者上線的國家，這種方式可能特別有效。

什麼是社交工程惡意程式？

社交工程惡意程式專門假冒其他軟體和/或隱藏在其他軟體之內，引誘使用者下載並安裝該軟體，藉此趁機安裝惡意軟體。社交工程惡意程式不論對個人或對公司都會造成嚴重的風險，進而導致機密資訊遭盜用竊取、損毀或外流。

由於今日經由網頁感染的惡意程式佔所有惡意程式的50% 以上，因此這類威脅必須透過更精良的技術和資源來防範，而這也是桌上型電腦資訊安全產品目前努力的方向。

如何避免誤觸社交工程信件？

如果信件當中含有網站連結，請將滑鼠移到連結上停一下，看看其顯示的網址是否與電子郵件的來源相同。例如，發信的公司網域名稱與網址所顯示的網域可能不同。
仔細觀察訊息內容，如果它一直在催促您盡快開啟某個附件檔案或點選某個連結，那很可能有詐。
先將附件檔案另存新檔，然後掃描看看是否為惡意檔案，切勿貿然直接從電子郵件內開啟附件檔案。

延伸閱讀:

PC-cillin 雲端版整合 AI 人工智慧的多層式防護，精準預測即時抵禦未知威脅》即刻免費下載試用

員工資安教育培訓的四個要點

2019 年 01 月 14 日2018 年 12 月 28 日趨勢科技 TrendMicro

對於負責監管組織內資料保護以及資訊安全的人來說，”員工因開啟郵件中的附件感染勒索病毒而影響商務”是一種很熟悉的故事情節。

這樣的新聞頭條並不新鮮。即使是最先進的安全防護技術，面對鎖定對象的目標式駭客攻擊也不可能是萬無一失。只要員工開啟一個惡意附件或是點了一個有害連結，全公司的網路安全便暴露在風險中。

因為這些行為如此簡單且普遍 – 打開電子郵件，連接到網站等等 – 企業加強網絡安全比以往任何時候都困難。

資訊安全最脆弱的環節:員工

一直以來，員工是企業資訊安全中最脆弱的一環現在，CIO的撰稿人Clint Boulton指出，這不只包含基層員工，還包括了監督和管理階層。駭客持續利用先進的技術騙過員工並進行攻擊。

此外Boulton發現，許多員工會陷入虛假的網路安全感，當採用了先進的資料保護技術以及防護工具時。

當然，先進的防護解決方案對抗資料外洩或是資料盜取是非常有用的，但是企業還需要投入必要的時間和精力進行適當的安全培訓，而不只是單純依賴資安防護軟體或是解決方案。

透過強健的員工資訊安全培訓，企業可以降低員工為駭客開啟大門的風險。

“那是我們目前看到的一個大問題” Theodore Kobus, BakerHostetler 隱私以及資料保護主管告訴Boulton說。公司真的需要關注這個關鍵的議題以便在攻擊的初始階段就可以進行攔阻。

目前的統計數據支持這一論點：總體而言，網絡釣魚，駭客攻擊和惡意程式導致了大多數網絡安全事件，佔43％。據Boulton報導，其中32％來自人為疏失，18％來自設備遺失或被盜。

在2016年，網絡釣魚，駭客和惡意程式佔所有網絡安全事件的43％

由於員工自身行為導致的問題比例如此之高，企業再也無法忽視用戶在整體網路安全中的關鍵作用。適當的培訓，包括需要注意的可疑事件以及對當前駭客技術的認識，應該成為任何企業組織的首要任務。

進行員工的資訊安全培訓的四個重點

企業組織可以將下列提示以及最佳實務融入到員工的培訓中以達到最佳成效。

1.確保員工了解重要性

正如安全顧問和作者Anthony Howard對BitSight Tech所說，在培訓中最重要的其中一點是確保員工了解流程的重要性。雖然員工可能意識到目前網絡安全領域發生的攻擊類型，但IT主管和其他部門經理必須讓員工了解培訓和適當安全措施的重要性。繼續閱讀

【2019 年資安預測】被偷的帳號都被拿來做什麼?累積里程、製造假評論、灌票…(6-1)

2019 年 01 月 02 日2019 年 01 月 11 日趨勢科技 TrendMicro

漏洞攻擊套件的活動將持續減少,網路犯罪集團回歸到一個更基本的漏洞那就是：人心的弱點。近年來，網路釣魚攻擊的數量開始增加，從趨勢科技所攔截的網路釣魚相關網址數量就能看出端倪。
過去一年網路犯罪集團從各種資料外洩當中累積了大量的帳號登入憑證，根據 Ponemon Institute 和 Akamai 所做的一份報告指出，透過自動化方式將某處偷來的同一組帳號密碼嘗試登入多個其他熱門網站的密碼填充攻擊 (credential stuffing) 手法情況日益嚴重，我們將看到網路犯罪集團利用這些偷來的帳號密碼註冊一些累積里程和點數回饋方案、註冊一些假鄉民帳號來從事網路宣傳、張貼假評論來操縱一些消費性入口網站、或者在一些社群民調上灌票等等。

當不斷有少年駭客回嗆:「不是我厲害,是你的密碼設定太弱了!」時,「Iloveyou」或「 1234 」等弱密碼卻仍年年蟬聯傻瓜密碼排行榜,網友的安全意識顯然需要加強。

另外,趨勢科技也預測 2019 年將看到一些更細膩或更新的數位勒索手法出現。例如，青少年或青年遭到非錢財方式的勒索案例將會增加。

趨勢科技對 2019 年的資安預測是根據我們內部研究專家對當前與新興科技、使用者行為、市場潮流以及這些因素對威脅情勢的影響所做的分析。我們考量其主要影響範圍以及科技與政治變革的擴散特性，將這些預測分成幾大領域,並分期刊出。

網路犯罪回歸到一個基本漏洞：人心弱點;網路釣魚將取代漏洞攻擊套件,成為主要攻擊管道

網路釣魚攻擊 在 2019 年將大幅成長。今日，軟體與作業市場占有率分布較以往更加零散，沒有單一作業系統能獨占一半以上的市場 (已不再像五年前的情況)。因此，網路犯罪集團也開始回歸到一個更基本的漏洞那就是：人心的弱點。的確，近年來，網路釣魚攻擊的數量開始增加，從我們所攔截的網路釣魚相關網址數量就能看出端倪。

已攔截的網路釣魚相關網址數量逐年攀升 (根據趨勢科技 Smart Protection Network™ 全球威脅情報網 2018 年第三季的統計資料)。

繼續閱讀

古典以太坊錢包(Ethereum Classic Wallet)成為社交工程受害者,保護數位貨幣和企業系統的 8 個建議

2017 年 07 月 17 日2017 年 07 月 19 日趨勢科技 TrendMicro

強烈建議使用者不要使用Classic Ether Wallet的服務，因為駭客在6月29日成功地控制了這個網站。這個電子錢包系統管理的是Ethereum Classic數位貨幣（古典以太坊，ETC），在本文撰寫時對美元為1:18.15。來自Reddit等論壇的報導顯示有許多受害者因為此駭客事件而損失了數千美元。請注意，古典以太坊與 Ethereum（以太坊，ETH）是不同的，這是因為一次駭客事件讓以太坊社群分裂所造成。

駭客冒充Classic Ether Wallet網站所有者連絡網域註冊商，進而劫持了該網站

根據 Ethereum Classic的開發者，駭客冒充為Classic Ether Wallet網站所有者來連絡網域註冊商，進而劫持了該網站（偽裝成高階主管或上級主管是常見的社交工程詐騙手法，常被用來取得寶貴資料）。經由此作法，駭客將網域重新導向自己的伺服器。並且在網站中插入程式碼來將使用者輸入的私鑰複製下來，讓駭客得以從受害者帳戶中取得資金。

Ethereum Classic團隊的回應方式是透過Twitter快速通知使用者這起駭客事件，並將該網站列入黑名單。使用者一開始會看到封鎖訊息及網路釣魚警告，不過該網站現在已經被關閉。

社交工程和其他數位貨幣相關威脅

根據報導，數位貨幣使用者已經受到社交工程詐騙的嚴重影響。詐騙者通常會偽裝成受害者，讓服務商提供存取權限給連結多個帳戶的電話或設備。一旦取得權限，詐騙者會鎖定受害者，從可存取的帳戶中拿走一切。這對數位貨幣持有人來說是個大災難，因為交易在本質上是不可逆轉的。

除了社交工程外，還有其他更加複雜的威脅，尤其是現在數位貨幣變得越來越主流。攻擊者並不將目標限制在錢包或個人身上，而是用惡意軟體來感染系統和設備以進行數位貨幣採礦。

早在2011年，我們就偵測到與比特幣採礦相關駭客工具和後門程式的增加。現在惡意威脅變得更加先進，有漏洞的物聯網（IoT ,Internet of Thing）設備成為首要目標。從數位錄影機到路由器和連網監控攝影機，惡意軟體試圖感染更多設備好形成大規模的比特幣採礦廠。在2016年，我們偵測到一堆Windows設備、家用路由器和網路攝影像機淪為比特幣礦工。如果這些惡意軟體感染了企業系統，可能會影響生產力和運作能力，進而嚴重地影響業務。