臺北醫學大學資訊處於7月18日假杏春樓電腦教室舉辦本年度的「防範惡意電子郵件社交工程演練」教育訓練,特邀請本處網路組林恩德組長擔任講師,分享如何防範惡意電子郵件社交工程的應用案例。
■何謂社交工程(Social Engineering)
「社交工程」係利用人性弱點,應用簡單的溝通和欺騙技倆,以獲得有用的資訊,如:帳號、通行碼、身分證號碼或其他機敏資料,來突破資通安全防護,遂行其非法的取存、破壞行為。
社交工程造成極大的威脅,在於惡意人士不需具備頂尖的電腦專業技術,衹要一般使用者對於防範詐騙沒有足夠的認知,就可以輕易地避過組織的硬體安全防護,而騙取到各項的帳號、通行碼、個人資料、財務資料或組織重要資料等資訊,對個人或組織所造成的損害與威脅,並不亞於網路上各種駭客攻擊。
一般使用者對安全防護認知不足及輕忽,將構成組織資通安全的一大漏洞,即使組織投資了各種網路防護的硬軟體、良好的保全系統保護機房安全,結果仍可能是不堪一擊,因為社交工程利用了人性的貪婪、情色、好奇、驚恐、容易信任、不在意及警覺力不高等弱點,只應用了簡單的溝通技巧,很輕意地就避開了不易破解的網路防火牆,突破組織的安全防護,而突破這耗資千百萬的層層安全防護,所花費的成本竟只是一、兩通電話費用或一封電子郵件。【圖:林恩德講師分享如何防範惡意電子郵件社交工程】
■社交工程常見的攻擊手法
除了利用電話詐騙外,常見的社交工程攻擊還包含:
1.電子郵件隱藏電腦病毒:駭客利用社交工程的概念,將病毒、蠕蟲、木馬及惡意程式等隱藏於電子郵件的「附件連結、附件檔案、附件圖片」中,利用人性的弱點誘騙使用者開啟它,這些看似好友寄來的郵件,卻是社交工程攻擊的陷阱。
2.網路釣魚:網路釣魚(Phishing)是由「Phone」、「Fishing」兩英文單字合成。網路釣魚是藉由社交工程與詐騙手法,偽造電子郵件或金融機構等知名網站,甚至是綁架網址的手法,以偷取使用者的身分資料及金融帳號與通行碼等機密資料。由於Web2.0的便利性,讓消費者不走出門,也可輕鬆購物、轉帳、工作等。但這便利性也是一刀兩刃,促使駭客不需直接入侵網站伺服器獲取資料,反而透過網站攻擊用戶端、或是讓使用者自行上鈎。
3.圖片中的惡意程式:明星或色情圖片是許多惡意程式慣用的社交工程技巧之一。利用使用者的好奇、八卦心態來散佈惡意程式,當網友點開了該圖片就會感染電腦病毒或被植入木馬程式。
4.偽裝修補程式:另一種社交工程的欺騙手法,就是偽裝成系統或應用程式的修補更新程式,因一般使用者不會覺得這是來路不明的程式,沒有防範社交工程會利用這個漏洞,而將藏有惡意程式的偽修補程式安裝於電腦系統中,如此不但不能修補系統或應用程式的任何漏洞,還可能安裝了遠端竊取資料的木馬程式、或成為僵屍電腦。
5.即時通亦是社交工程的新途逕:即時通的方便性,已成為日常上網行為的一部分,當親朋好友送來的訊息(網路連結或檔案),不疑有它就點選打開,有可能將是夢魘的開始,這個隱藏著惡意程式的連結或檔案,會將電腦病毒或蠕蟲安裝於電腦系統中,並利用即時通連絡人上的朋友清單,自動狂發含有惡意程式的連結或檔案。【圖:參與教育訓練同仁上課實況】
■APT進階持續性滲透攻擊
簡單的說就是針對特定組織與人員所做的複雜且多方位的網路攻擊,駭客以達到竊取有興趣的情資。而APT攻擊特色如下:
‧鎖定特定目標:針對特定政府或企業,長期進行有計畫性、組織性竊取情資行為,可能持續幾天、幾週、幾個月,甚至更長的時間。
‧假冒信件:針對被鎖定對象寄送幾可亂真的社交工程惡意信件。
‧低調且緩慢:為了進行長期潛伏、惡意程式入侵後具有自我隱藏能力避免被偵測,伺機竊取管理者帳號、密碼。
‧客製化惡意元件:除了使用現成的惡意程式外亦使用客制化的惡意元件。
‧安裝遠端控制工具:建立類殭屍網路(Botnet)的遠端控制架構,並定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。
‧傳送情資:將過濾後的機敏資料加密後外傳。
APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅,可以想成是進行中的過程。要避免APT攻擊則更需重視社交工程攻擊防禦的重要性。
■社交工程攻擊的自我防護
在了解社交工程的攻擊手法後,應建立正確防範社交工程的觀念,以提高自我防護的能力。
1.在技術層面上:修補系統漏洞、安裝防毒軟體、安裝間諜程式檢查軟體、關閉電子郵件預覽功能。
2.在行為層面上:在開啟電子信件前、網路連結時及檔案附件時請三思。社交工程其實是一種利用人性弱點的詐騙技術,來避開嚴密的資通安全技術防護,是一讓人防不勝防的攻擊模式,惟有時時提高警覺、加強危機意識,確實做好實體隔離以及存取控管來保護機敏資料,並搭配定期的管理稽核和使用者認知之教育訓練,才是減少社交工程攻擊傷害的根本解決之道。(文/資訊處)【圖:上課實況】