社交工程(Social Engineering)是種針對人性的駭客行動,駭客利用了人類的恐懼、好奇、憤怒、罪惡感或激動等情書,而讓潛在的受害者採取非理行或冒險的行動。駭客企圖引誘不知情的使用者外洩資料、散布惡意程式,或者是賦予存取受限系統的權限,相關的攻擊不僅出現在網路上,也可能是面對面或是藉由其它的互動展開。
社交工程 攻擊通常有四步驟:駭客蒐集關於使用者或是所屬企業的資訊,藉以建立信任、進行滲透與攻擊,利用受害者採取駭客所需的行動之後,便斷絕關係。攻擊者通常使用電子郵件中的連結引導用戶連到這些極為相似的釣魚網站,進而騙取電子郵件帳號、密碼及信用卡資訊等機密個資,或將惡意程式(例如,勒索軟體)透過偷渡式下載(Drive-by Download)之網路攻擊手法,直接下載到用戶的電腦。社交工程駭客擅長利用熱門話題操作攻擊行動,例如從 2021 年 1 到 5 月,台灣共計發生逾 2 萬起疫苗相關攻擊事件,名列全球疫苗相關資安威脅第 15 名。臺灣每個月都在面對約三千萬起的網路攻擊。現今,社交工程已經成為最大的威脅之一,所有公司都需要針對這個問題採取行動。
網路釣魚攻擊(Phishing Attack)正以驚人的速度不斷成長,網路犯罪分子欺騙受害者手法也更具針對性。根據統計,每天產生數以萬計新的釣魚網站,而這些網站大多僅活躍 4 到 8個小時。史上最有名的網路釣魚事件為駭客假冒台灣業者廣達,向客戶臉書與 Google 成功詐騙了 1.2 億美元。當時來自立陶宛的 Evaldas Rimasauskas 在拉脫維亞註冊了一家與廣達同名的公司,再寄送郵件予當時負責處理大額款項的臉書及 Google 員工,利用偽造合約、發票與公司章,要求將欠款匯至特定的銀行帳戶。(CNBC)
社交工程的防範對策
🟪 數位安全政策
數位安全政策是關於「資訊系統應該如何被使用」以及「如何最小化風險」的指導原則,協助員工瞭解保護公司資料與資訊資產的程序為何。為了保護公司免於網路攻擊,不須仰賴員工的資安意識或人為判斷來決定檔案是否安全,制定數位安全政策是必須做的首要任務,而制定的過程中亦不需花費任何 IT 預算。
🟪 多重因素驗證 Multi-factor authentication
多因素驗證(MFA)是一種安全驗證方法,要求使用者在登入時透過提供兩個或多個證據(或因素)來證明其身分。一個因素是使用者所知道的,例如使用者名稱和密碼。其他因素是使用者擁有的方法,例如驗證者應用程式或安全性金鑰。透過將使用者存取權與多種因素結合,MFA 可讓常見威脅 (例如網路釣魚攻擊和帳戶接管)變得難以成功。
🟪 無密碼登入
要記的網路密碼愈來愈多,特別是登入各個不同平台的帳號密碼,為了將網路打造成對大眾而言更安全、更易於使用的空間,蘋果(Apple)、谷歌(Google)和微軟(Microsoft)聯合宣布,計畫擴展FIDO(Fast IDentity Online,線上快速身份驗證)聯盟和全球資訊網聯盟(W3C)共同制定的「無密碼登入」標準。不採用密碼驗證身份的話,就算別人拿到了個人的密碼,也無法登入個人的帳號,也就加強了安全性
🟪 存取控制管理
存取控制可以允許哪些人員在哪些情況下存取特定資料、應用程式和資源。就像透過鑰匙和預先核准的訪客清單保護實體空間一樣,存取控制原則可以保護數位空間,保護機密資訊(例如客戶資料和智慧財產權),避免遭受惡意執行者或其他未經授權的使用者竊取。它也能降低員工將資料外流的風險,並遏制 Web 型威脅。大多數安全性導向的組織仰賴身分識別和存取權管理解決方案來實作存取控制原則,而不會以手動的方式管理權限。
社交工程 利應用人性來獲取需要的資訊,很多人在不知情的情況下,洩漏了機密,還不自知!建議各企業應加強員工資安宣導,防範員工成為社交攻擊破口;內部系統的重要存取密碼也需善加保護,以免遭駭侵者輕易取得,用於發動進一步攻擊。
Comments are closed, but trackbacks and pingbacks are open.