您的 IP: Unknown · 您的狀態: 未受保護的 受保護的

社交工程是什麼?

Jun 09, 2020 · 1 min read

社交工程是什麼?

五月正值台灣的報稅季節,民眾頻繁使用網路進行相關查詢和郵件往來,此時也是駭客攻擊的好時機。網路上有一些稱為「社交工程」攻擊技術,駭客利用這些技術竊取有價值的資料。了解社交工程的手法,才不會因此受騙。

什麼是社交工程?

簡單來說,社交工程是利用人性弱點竊取敏感資料的手法。社交工程經常透過人們的信任和貪婪進行詐騙。有時候,駭客甚至不需使用程式碼或惡意軟體,就能進行社交工程攻擊。

社交工程技術

網路釣魚(Phishing)

網路釣魚

網路釣魚是駭客利用電子郵件假冒他人,他們通常會假裝是銀行、政府單位或任何值得信任的機構。他們希望您能打開一封網路釣魚郵件,點開郵件附檔下載惡意軟體,或點開郵件上的惡意連結。他們希望誘騙您洩漏敏感資訊,例如您的密碼、身分證字號或信用卡號碼。

網路釣魚有很多種方法,常見的有:

  • 偽造的寄件人名稱:電子郵件看起來像是來自合法單位,但實際上寄件人電子郵件的域名完全不同,例如,寄件人名稱看起來像是來自 Netflix,但如果查看寄件人的電子郵件地址,會發現該電子郵件是來自 netflix@gmail.com(假設性的範例)。
  • 打開偽造連結:駭客可能發送一封電子郵件,要您打開某個連結,然後用您的帳號密碼登入。這個偽造連結會打開一個假網站,藉此竊取帳號和密碼。保護自己的方法是打開連結之前,先檢查連結是否異常。
  • 電子郵件附件檔案:電子郵件附件中的發票、文件、活動邀請都可能偽裝成病毒或惡意軟體,如果這些附件的檔名看起來很可疑,不要打開它。

魚叉式網路釣魚(Spear phishing)

魚叉式網路釣魚

網路釣魚是將電子郵件廣泛發送給很多人,而魚叉式網路釣魚的目標是個人或一小群團體,因此魚叉式網路釣魚難度較高。寄件人通常會偽造成您信任的某個人,或者在工作中與您有密切聯繫的人。

魚叉式網路釣魚要能成功,駭客必須事先對攻擊目標進行研究,收集他們的個資。社群網站是最容易收集資訊的地方,上面幾乎包含各種個人資料,例如電子郵件地址、電話、興趣嗜好、親朋好友等。駭客可以用這些資訊偽照出幾可亂真的郵件內容,來取得攻擊目標的信任。

魚叉式網路釣魚不易識別,您可以多留意這些特點:

  • 電子郵件的寄件人。
  • 判斷信件內容是不是一個正常合理的要求。
  • 如果信件內容很可疑,不要直接回復郵件。您可以用其他管道聯絡寄件人,查證電子郵件的真實性。

電話網釣(Vishing)

電話網釣

電話網釣是另一種網路釣魚手法,駭客會假扮某個可信任的機構,用電話與您聯絡。他們將電話號碼偽造成那個您信任的機構,然後使用預錄語音、或用文字轉語音合成器來掩飾身份。這些人會利用詐騙電話的手法,讓這通電話更有說服力。

駭客在電話中會說明某種理由,例如您的銀行帳戶有可疑活動、轉帳出了問題、抽獎活動來取得信任。無論電話內容說些什麼,他們都是想取得您的敏感資訊。

以下方法可以識別電話網釣:

  • 詢問對方打電話的原因,您是否聽過這家公司,您們曾有業務往來嗎?
  • 他們是從您未參加過的抽獎活動中提供不切實際的收益,還是要幫您償還您從未聽說過的債務?
  • 他們是不是用一些奇怪的理由,想取得您的個人資料?

假託(Pretexting)

假託

假託是一種類似網路釣魚的社交工程攻擊,這些網路犯罪會冒充成您的朋友或同事,他們不但會說謊,還會營造出完整的情境進行欺騙。這種攻擊的效率很高,他們的目標通常是從某個資深人員那裡獲取資訊。

假託這種攻擊很難被發現,因為駭客會投入大量的研究和努力去冒充角色。然而,如果有人看起來太過友善,要求您提供某些不能分享的資訊,請保持懷疑的心態,質疑他們的目的。

交友詐騙(Catfishing)

交友詐騙

交友詐騙指的是駭客利用別人的照片、影片和個人資料建立一個虛假的社群帳號,這些假身份通常用於網路霸凌或尋求關注。有時候,甚至用來騙取金錢或受害者的個人資料,這些資料隨後可能被用於另一次社交工程攻擊。

如果您在網路上認識了一位新朋友,他人很好,但總是不願意分享自己的照片或個人資料。這很有可能就是交友詐騙。以下是一些徵兆:

  • 編造可憐的故事並要求捐款。
  • 奇怪的藉口,例如他們不能視訊通話或講電話。
  • 社群帳號沒有大頭貼照片,或盜用帥哥美女的照片。

下餌(Baiting)

下餌

這種社交工程攻擊使用誘餌來引誘受害者做一些事,其目的是用惡意軟體感染您的電腦,以取得敏感資料。例如用 USB 作為誘餌,刻意將其遺留在辦公室或停車場,上面貼上「主管薪資」等標籤,讓人們受到好奇心的驅使,將 USB 插入電腦,內部的惡意軟體就會感染他們的設備。

不過 USB 越來越少人使用,因此下餌這種手法現在主要用在 P2P 網站,駭客建立一個假的鏡像網站,讓人們以為他們透過 P2P 下載影片,但事實上會下載病毒,因此從不信任的來源下載軟體是有風險的。為了避免受到這類攻擊,建議安裝最新的防毒軟體,以確保下載的檔案是安全的。

等價交換(Quid pro quo)

等價交換

等價交換攻擊是駭客為您提供某種服務以交換您的個人資訊。例如您收到一封電子郵件,告訴您某個小國的王子過世了,您繼承了他所有的遺產,不過您要提供銀行資訊給他們,並匯一筆小額的手續費,他們才能把龐大遺產轉給您。儘管這種手法看起來很愚蠢,但這類攻擊仍時常發生。

最常見的等價交換攻擊,是駭客假扮成IT專家,受害者通常有電腦上的小問題請求協助。他們不會懷疑電話或聊天軟體中的駭客,駭客通常會要求他們提供帳號密碼,以便查看問題。當駭客取得權限後,就能安裝惡意軟體或竊取重要資訊。

聯絡人攻擊

聯絡人攻擊

使用這種社交工程技術的駭客會入侵您的電子郵件或社群媒體帳號,然後向您的朋友發送一則訊息,例如「這個影片很有趣,分享給你!」

一般人傾向信任朋友傳來的訊息,不過只要打開訊息上的連結,設備就會被惡意軟體感染。更糟糕的是,一但病毒感染到您的設備,就會將同樣的訊息傳送給您的聯絡人。

如何不落入社交工程的圈套

  1. 如果您知道這些手法,就更容易避免受騙。
  2. 保持警覺,檢查寄件人或訊息來源的身份,特別是收到意外的電子郵件、簡訊或電話。請注意,如果一切聽起來太完美,那可能不是真的。
  3. 留意錯誤。企業在發送內容之前,都會對內容進行檢查,以確保內容正確無誤。而駭客發送的內容,偶爾會出現語法上的錯誤和錯字。
  4. 有疑問請查證。如果您對訊息或郵件內容有任何懷疑,請對內容進行查核,重要的是,不要一昧相信內容。
  5. 養成良好的網路行為。
  6. 不要將自己的相關資訊公布在社交平台,這些資訊幫助讓他人更了解您,進而用於社交工程攻擊。
  7. 定期更新軟體,安裝可靠的防毒軟體。
  8. 使用 VPN,VPN 能幫助隱藏資訊,避免駭客從中攔截資料,尤其是在公眾無線網路上。

使用 NordVPN 保護您的網上安全性。試用無風險 NordVPN,30天退款保證。


Eugene Michaels
Eugene Michaels success已驗證作者

Eugene 是新興市場的內容行銷專家。當 Eugene 不談論東亞和中東的網路安全和互聯網自由時,人們會發現她在享受金屬音樂會或觀看恐怖電影。


訂閱 NordVPN 部落格