社交工程是什麼?
五月正值台灣的報稅季節,民眾頻繁使用網路進行相關查詢和郵件往來,此時也是駭客攻擊的好時機。網路上有一些稱為「社交工程」攻擊技術,駭客利用這些技術竊取有價值的資料。了解社交工程的手法,才不會因此受騙。
內容
什麼是社交工程?
簡單來說,社交工程是利用人性弱點竊取敏感資料的手法。社交工程經常透過人們的信任和貪婪進行詐騙。有時候,駭客甚至不需使用程式碼或惡意軟體,就能進行社交工程攻擊。
社交工程技術
網路釣魚(Phishing)
網路釣魚是駭客利用電子郵件假冒他人的手法,他們通常會假裝是銀行、政府單位或任何值得信任的機構。他們希望您能打開一封網路釣魚郵件,點開郵件附檔下載惡意軟體,或點開郵件上的惡意連結。他們希望誘騙您洩漏敏感資訊,例如您的密碼、身分證字號或信用卡號碼。網路釣魚不僅會危及使用者的直接安全,更會進一步導致身份盜用的發生,因此務必多加留意那些偽冒的郵件。
網路釣魚有很多種方法,常見的有:
- 偽造的寄件人名稱:電子郵件看起來像是來自合法單位,但實際上寄件人電子郵件的域名完全不同,例如,寄件人名稱看起來像是來自 Netflix,但如果查看寄件人的電子郵件地址,會發現該電子郵件是來自 netflix@gmail.com(假設性的範例)。
- 打開偽造連結:駭客可能發送一封電子郵件,要您打開某個連結,然後用您的帳號密碼登入。這個偽造連結會打開一個假網站,藉此竊取帳號和密碼。保護自己的方法是打開連結之前,先檢查連結是否異常。
- 電子郵件附件檔案:電子郵件附件中的發票、文件、活動邀請都可能偽裝成病毒或惡意軟體,如果這些附件的檔名看起來很可疑,不要打開它。
魚叉式網路釣魚(Spear phishing)
網路釣魚是將電子郵件廣泛發送給很多人,而魚叉式網路釣魚的目標是個人或一小群團體,因此魚叉式網路釣魚難度較高。寄件人通常會偽造成您信任的某個人,或者在工作中與您有密切聯繫的人。
魚叉式網路釣魚要能成功,駭客必須事先對攻擊目標進行研究,收集他們的個資。社群網站是最容易收集資訊的地方,上面幾乎包含各種個人資料,例如電子郵件地址、電話、興趣嗜好、親朋好友等。駭客可以用這些資訊偽照出幾可亂真的郵件內容,來取得攻擊目標的信任。
魚叉式網路釣魚不易識別,您可以多留意這些特點:
- 電子郵件的寄件人。
- 判斷信件內容是不是一個正常合理的要求。
- 如果信件內容很可疑,不要直接回復郵件。您可以用其他管道聯絡寄件人,查證電子郵件的真實性。
電話網釣(Vishing)
電話網釣是另一種網路釣魚手法,駭客會假扮某個可信任的機構,用電話與您聯絡。他們將電話號碼偽造成那個您信任的機構,然後使用預錄語音、或用文字轉語音合成器來掩飾身份。這些人會利用詐騙電話的手法,讓這通電話更有說服力。
駭客在電話中會說明某種理由,例如您的銀行帳戶有可疑活動、轉帳出了問題、抽獎活動來取得信任。無論電話內容說些什麼,他們都是想取得您的敏感資訊。
以下方法可以識別電話網釣:
- 詢問對方打電話的原因,您是否聽過這家公司,您們曾有業務往來嗎?
- 他們是從您未參加過的抽獎活動中提供不切實際的收益,還是要幫您償還您從未聽說過的債務?
- 他們是不是用一些奇怪的理由,想取得您的個人資料?
假託(Pretexting)
假託是一種類似網路釣魚的社交工程攻擊,這些網路犯罪會冒充成您的朋友或同事,他們不但會說謊,還會營造出完整的情境進行欺騙。這種攻擊的效率很高,他們的目標通常是從某個資深人員那裡獲取資訊。
假託這種攻擊很難被發現,因為駭客會投入大量的研究和努力去冒充角色。然而,如果有人看起來太過友善,要求您提供某些不能分享的資訊,請保持懷疑的心態,質疑他們的目的。
交友詐騙(Catfishing)
交友詐騙指的是駭客利用別人的照片、影片和個人資料建立一個虛假的社群帳號,這些假身份通常用於網路霸凌或尋求關注。有時候,甚至用來騙取金錢或受害者的個人資料,這些資料隨後可能被用於另一次社交工程攻擊。
如果您在網路上認識了一位新朋友,他人很好,但總是不願意分享自己的照片或個人資料。這很有可能就是交友詐騙。以下是一些徵兆:
- 編造可憐的故事並要求捐款。
- 奇怪的藉口,例如他們不能視訊通話或講電話。
- 社群帳號沒有大頭貼照片,或盜用帥哥美女的照片。
下餌(Baiting)
這種社交工程攻擊使用誘餌來引誘受害者做一些事,其目的是用惡意軟體感染您的電腦,以取得敏感資料。例如用 USB 作為誘餌,刻意將其遺留在辦公室或停車場,上面貼上「主管薪資」等標籤,讓人們受到好奇心的驅使,將 USB 插入電腦,內部的惡意軟體就會感染他們的設備。
不過 USB 越來越少人使用,因此下餌這種手法現在主要用在 P2P 網站,駭客建立一個假的鏡像網站,讓人們以為他們透過 P2P 下載影片,但事實上會下載病毒,因此從不信任的來源下載軟體是有風險的。為了避免受到這類攻擊,建議安裝最新的防毒軟體或防惡意軟體工具,以確保下載的檔案是安全的。
等價交換(Quid pro quo)
等價交換攻擊是駭客為您提供某種服務以交換您的個人資訊。例如您收到一封電子郵件,告訴您某個小國的王子過世了,您繼承了他所有的遺產,不過您要提供銀行資訊給他們,並匯一筆小額的手續費,他們才能把龐大遺產轉給您。儘管這種手法看起來很愚蠢,但這類攻擊仍時常發生。
最常見的等價交換攻擊,是駭客假扮成IT專家,受害者通常有電腦上的小問題請求協助。他們不會懷疑電話或聊天軟體中的駭客,駭客通常會要求他們提供帳號密碼,以便查看問題。當駭客取得權限後,就能安裝惡意軟體或竊取重要資訊。
聯絡人攻擊(Contact spamming)
使用這種社交工程技術的駭客會入侵您的電子郵件或社群媒體帳號,然後向您的朋友發送一則訊息,例如「這個影片很有趣,分享給你!」
一般人傾向信任朋友傳來的訊息,不過只要打開訊息上的連結,設備就會被惡意軟體感染。更糟糕的是,一但病毒感染到您的設備,就會將同樣的訊息傳送給您的聯絡人。
如何不落入社交工程的圈套
- 如果您知道這些手法,就更容易避免受騙。
- 保持警覺,檢查寄件人或訊息來源的身份,特別是收到意外的電子郵件、簡訊或電話。請注意,如果一切聽起來太完美,那可能不是真的。
- 留意錯誤。企業在發送內容之前,都會對內容進行檢查,以確保內容正確無誤。而駭客發送的內容,偶爾會出現語法上的錯誤和錯字。
- 有疑問請查證。如果您對訊息或郵件內容有任何懷疑,請對內容進行查核,重要的是,不要一昧相信內容。
- 養成良好的網路行為。
- 不要將自己的相關資訊公布在社交平台,這些資訊幫助讓他人更了解您,進而用於社交工程攻擊。
- 定期更新軟體,安裝可靠的防毒軟體。或是使用 NordVPN 的進階安全解決方案威脅防護 Pro,這款功能可以封鎖廣告、追蹤程式,掃描下載檔案偵測惡意軟體,還能阻止您誤入惡意網站,封鎖各項威脅侵害裝置,讓安全防護更上一層樓。
- 使用 VPN,VPN 能幫助隱藏資訊,避免駭客從中攔截資料,尤其是在公眾無線網路上。
使用 NordVPN 保護您的網上安全性。試用無風險 NordVPN,30 天退款保證。