『附件二』
社交工程,英文為Social Engineering,是以影響力或說服力來欺騙他人以獲得有用的資訊,這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。
社交工程造成極大威脅的原因,在於惡意人士不需要具備頂尖的電腦專業技術,只要企業員工對於防範詐騙沒有足夠的認知,就可以輕易地避過了企業的軟硬體安全防護,而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊,對企業所造成的損害與威脅,完全不下於網路上的各種駭客攻擊。
企業員工對安全防護認知的不足與輕忽,造成了企業資通安全的一大漏洞,公司即使投資了各種網路防護的軟硬體,並訓練員工正確的系統操作步驟、資料儲存程序,再加上良好的保全系統保護機房安全,結果仍可能不堪一擊,因為社交工程利用人性容易相信而上當的弱點,避開了不容易破解的網路防火牆,選擇容易跨越的人性防火牆,只應用了簡單的溝通和欺騙技巧,便突破了企業的安全防護,而突破這些耗資千萬的應用社交工程的各種攻擊方法
層層安全防護,所花費的成本竟然只有一、兩通電話的費用。
除了利用電話詐騙之外,常見的社交工程攻擊還包括︰
(1)電子郵件隱藏電腦病毒
駭客利用社交工程的概念,將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,這些看似朋友所寄來的郵件,卻是應用社交工程的電子郵件陷阱,例如過去造成重大損害的I LOVE YOU蠕蟲,就是一種利用社交工程散播的電腦病毒。
(2)網路釣魚
有一種偽裝知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等,這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結,可能就下載了惡意程式;或者在假網頁上輸入了帳號密碼或信用卡資料等,造成銀行戶被盜領或盜刷等的嚴重後果,這是近年來造成個人與企業極大損害的犯罪手法,而網路釣魚就是一種典型的社交工程攻擊。
(3)圖片中的惡意程式      明星或情圖片也是許多惡意程式慣用的社交工程技巧之一,這些都是利用使用者的好奇心來散佈惡意程式,之前Sobig 網路病毒出現在某個含有情內容的網路討論組,網友點選了其中像是裸照的內容就會感染病毒,而該病毒總共導致了約10億美金的損失。      (4)偽裝修補程式      另一種社交工程的欺騙手法,就是偽裝成微軟的修補更新程式,因為一
般使用者不會覺得這是來路不明的程式,卻沒有防範社交工程也會利用這個漏洞,而將惡意程式隱藏
其中。使用者若安裝了這個檔案,不但不會修補作業系統的任何漏洞,還可能被安裝了遠端竊取資料的木馬程式。      (5)即時通也是社交工程新途徑      近年來,社交工程傳播惡意程式的途徑擴大至即時通訊軟體,如MSN 、ICQ 、YAHOO 即時通、QQ 等。2008年2月,一個使用MSN 大量散播的病毒造成嚴重災情,這個電腦病毒會利用MSN 自動傳檔給MSN 連絡人上的朋友,亞洲各國皆傳出災情,包括台灣的案例也有千起以上。      社交工程攻擊四步驟      社交工程攻擊首先取得一個攻擊目標的背景資訊,透過交談與受害人建立信任,然後向受害人要求資訊,再利用這些資訊向其他或更高層人員欺騙,不斷重覆這些步驟,以達成最後目標。      常見的社交攻擊手法與目標      不管是純粹使用詐騙技巧,或是利用電腦專業技術製造詐騙機會,常見的詐騙與攻擊手法相當多元,包括︰假冒為同事;假冒新進員工;假冒廠商、客戶或政府單位;假冒具有權威的人;假冒系統廠商,表示欲提供系統修補程式或更新程式;假冒好心人士,告訴對方如果電腦發生問題可以他,然後製造問題,讓受害人打電話來求援小学常用歇
后语
1.八仙过海--------各显神通
2.不入虎穴--------焉得虎子
3.蚕豆开花--------黑心
4.车到山前--------必有路
5.打破砂锅--------问到底
6.和尚打伞--------无法无天
7.虎落平阳--------被犬欺
8.画蛇添足--------多此一举
9.箭在弦上--------不得不发  10.井底青蛙--------目光短浅 11.大海捞针--------没处寻  12.竹篮打水--------一场空
13.打开天窗--------说亮话  14.船到桥头--------自会直 15.飞蛾扑火-----自取灭亡  16.百米赛跑--------分秒必争
17.拔苗助长-----急于求成  18.仇人相见--------分外眼红 19.芝麻开花----节节高      20.新官上任--------三把火 21.瞎子点灯--------白费蜡  22.兔子尾巴--------长不了 23.偷鸡不成----蚀把米      24.王婆卖瓜--------自卖自夸
25.老虎屁股---- 摸不得    26.老虎拉车--------谁敢 27.老鼠过街-----人人喊打  28.麻雀虽小--------五脏俱全 29.墙上茅草----随风两边倒  30.三十六计--------走为上计 31.塞翁失马----焉知祸福    32.壶中无酒--------难留客
33.丈二和尚----摸不着头脑  34.有借有还--------再借不难
35.猫哭耗子---假慈悲      36.铰子破皮--------露了馅 37.扁担挑水---一心挂了两头  38.对牛弹琴--------白费劲 39.八仙聚会--------神聊      40.霸王敬酒--------不干也得干 41.板上订钉--------跑不了    42.背鼓上门--------讨打
43.草把做灯-----粗心(芯)  44.竹笋出土--------节节高 45.菜刀切豆腐----两面光      46.钉头碰钉子--------硬碰硬
47.高山上敲鼓--四面闻名(鸣)  48.铁打的公鸡-----一毛不拔
49.关公走麦城----骄必败      50.狗咬吕洞宾--------不识好人心 51.鸡蛋碰石头----不自量力    52.姜太公钓鱼--------愿者上钩 53.脚踏西瓜皮--滑到哪里是哪里  54.孔夫子搬家--------净是书 55.老鼠钻风箱-----两头受气  56.留得青山在--------不怕没柴烧 57.门缝里看人---把人看扁了  58.泥菩萨过河--------自身难保
59.泼出去的水----收不回      60.骑驴看唱本--------走着瞧
61.千里送鹅毛--礼轻情意重  62.肉包子--------有去无回
63.山中无老虎---猴子称大王  64.司马昭之心--------路人皆知
65.外甥打灯笼---照旧(舅)  66.王八吃年糕--------铁了心 67.王小二过年---一年不如一年  68.小葱拌豆腐-----一清二白
69.小和尚念经----有口无心  70.周瑜打黄盖--------两厢情愿
71.----吃力不讨好  72.擀面杖吹火----- -一窍不通
73.瞎子戴眼镜----装饰      74.猴子捞月亮--------空忙一场
75.秀才遇到兵----有理讲不清  76.三个臭皮匠--------顶个诸葛亮
77.黄牛追兔子---有劲使不上    78.和尚训道士--------管得宽
79.过年娶媳妇----双喜临门      80.聋子见哑巴--------不闻不问 … 等。其中,某些職務人員是社交工程攻擊常鎖定的目標,尤其是基層庶務人員,當其對
於公司主要業務較無直接關係時,往往對於資訊保密的警覺性較低,常常成為社交工程攻擊常鎖定的主要目標。
有效防範社交工程攻擊的方法
在了解社交工程的攻擊手法後,應建立正確防範社交工程的觀念,包括人員的教育訓練與平常的宣導。
(1)認識常見社交工程的可疑徵兆
首先,隨時具備危機意識,惡意人士可能以任何角或形式出現,在沒有適當的認證情況下,不應輕信他人,只要出現社交工程攻擊警訊,都應保持小心求證的戒心。認識幾個社交工程的可疑徵兆,例如對方強調是緊急事件;提出不尋常的請求;威脅對方如果不照辦會有嚴重的後果;拒絕告知回電號碼…等,遇有上述情形時應提高警覺心。
(2)遵守公司安全政策與程序確認要求者的身分
另外,平時亦應遵守公司安全政策與程序,例如依資料分級制度流通資訊,不開啟來路不明的電子郵件等,在任何資訊釋出時,都要確認要求者的身分及對方經過授權。
(3)通報作業
最後,遇到疑似攻擊事件時應向有關單位通報。
總結边程
社交工程其實就是一種利用人性弱點的詐騙技術,它避開了嚴密的資通安全技術防護,是一種非常難以防範的攻擊模式,只有具備高度的危機意識及警覺心,才能減少社交工程攻擊傷害。
【資料來源:載自I Security 邱瑩青著】