資訊處教育訓練活動~防範惡意電子郵件社交工程演練 臺北醫學大學資訊處於 7 月 18 日假杏春樓電腦教室舉辦本年度 的「防範惡意電子郵件社交工程演練」教育訓練,特邀請本處網 路組林恩德組長擔任講師,分享如何防範惡意電子郵件社交工程 的應用案例。 ■何謂社交工程(Social Engineering) 「社交工程」係利用人性弱點,應用簡單的溝通和欺騙技倆,以獲得有用的資訊, 如:帳號、通行碼、身分證號碼或其他機敏資料,來突破資通安全防護,遂行其非 法的取存、破壞行為。 社交工程造成極大的威脅,在於惡意人士 不需具備頂尖的電腦專業技術,衹要一般 使用者對於防範詐騙沒有足夠的認知,就 可以輕易地避過組織的硬體安全防護,而 騙取到各項的帳號、通行碼、個人資料、 財務資料或組織重要資料等資訊,對個人 或組織所造成的損害與威脅,並不亞於網 路上各種駭客攻擊。 一般使用者對安全防護認知不足及輕忽,將構成組織資通安全的一大漏洞,即使組 織投資了各種網路防護的硬軟體、良好的保全系統保護機房安全,結果仍可能是不 堪一擊,因為社交工程利用了人性的貪婪、情色、好奇、驚恐、容易信任、不在意 及警覺力不高等弱點,只應用了簡單的溝通技巧,很輕意地就避開了不易破解的網 路防火牆,突破組織的安全防護,而突破這耗資千百萬的層層安全防護,所花費的 成本竟只是一、兩通電話費用或一封電子郵件。【圖:林恩德講師分享如何防範惡 意電子郵件社交工程】 ■社交工程常見的攻擊手法 除了利用電話詐騙外,常見的社交工程攻擊還包含: 1.電子郵件隱藏電腦病毒:駭客利用社交工程的概念,將病毒、蠕蟲、木馬及惡意 程式等隱藏於電子郵件的「附件連結、附件檔案、附件圖片」中,利用人性的弱點 誘騙使用者開啟它,這些看似好友寄來的郵件,卻是社交工程攻擊的陷阱。 2.網路釣魚:網路釣魚(Phishing)是由「Phone」、「Fishing」兩英文單字合成。 網路釣魚是藉由社交工程與詐騙手法,偽造電子郵件或金融機構等知名網站,甚至 是綁架網址的手法,以偷取使用者的身分資料及金融帳號與通行碼等機密資料。由 於 Web2.0 的便利性,讓消費者不走出門,也可輕鬆購物、轉帳、工作等。但這便
利性也是一刀兩刃,促使駭客不需直接入侵網站伺服器獲取資料,反而透過網站攻 擊用戶端、或是讓使用者自行上鈎。 3.圖片中的惡意程式:明星或色情圖片是許 多惡意程式慣用的社交工程技巧之一。利 用使用者的好奇、八卦心態來散佈惡意程 式,當網友點開了該圖片就會感染電腦病 毒或被植入木馬程式。 4.偽裝修補程式:另一種社交工程的欺騙手 法,就是偽裝成系統或應用程式的修補更 新程式,因一般使用者不會覺得這是來路 不明的程式,沒有防範社交工程會利用這 個漏洞,而將藏有惡意程式的偽修補程式安裝於電腦系統中,如此不但不能修補系 統或應用程式的任何漏洞,還可能安裝了遠端竊取資料的木馬程式、或成為僵屍電 腦。 5.即時通亦是社交工程的新途逕:即時通的方便性,已成為日常上網行為的一部 分,當親朋好友送來的訊息(網路連結或檔案),不疑有它就點選打開,有可能將 是夢魘的開始,這個隱藏著惡意程式的連結或檔案,會將電腦病毒或蠕蟲安裝於電 腦系統中,並利用即時通連絡人上的朋友清單,自動狂發含有惡意程式的連結或檔 案。【圖:參與教育訓練同仁上課實況】 ■APT 進階持續性滲透攻擊 簡單的說就是針對特定組織與人員所做的複雜且多方位的網路攻擊,駭客以達到竊 取有興趣的情資。而 APT 攻擊特色如下: ‧鎖定特定目標:針對特定政府或企業,長期進行有計畫性、組織性竊取情資行 為,可能持續幾天、幾週、幾個月,甚至更長的時間。 ‧假冒信件:針對被鎖定對象寄送幾可亂真的社交工程惡意信件。 ‧低調且緩慢:為了進行長期潛伏、惡意程式入侵後具有自我隱藏能力避免被偵 測,伺機竊取管理者帳號、密碼。 ‧客製化惡意元件:除了使用現成的惡意程式外亦使用客制化的惡意元件。 ‧安裝遠端控制工具:建立類殭屍網路(Botnet)的遠端控制架構,並定期傳送有 潛在價值文件的副本給命令和控制伺服器(C&C Server)審查。 ‧傳送情資:將過濾後的機敏資料加密後外傳。 APT 不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。 APT 可以被視為更像是一個網路攻擊活動而不是單一類型的威脅,可以想成是進行 中的過程。要避免 APT 攻擊則更需重視社交工程攻擊防禦的重要性。
■社交工程攻擊的自我防護 在了解社交工程的攻擊手法後,應建立正確 防範社交工程的觀念,以提高自我防護的能 力。 1.在技術層面上:修補系統漏洞、安裝防毒 軟體、安裝間諜程式檢查軟體、關閉電子郵 件預覽功能。 2.在行為層面上:在開啟電子信件前、網路 連結時及檔案附件時請三思。社交工程其實 是一種利用人性弱點的詐騙技術,來避開嚴密的資通安全技術防護,是一讓人防不 勝防的攻擊模式,惟有時時提高警覺、加強危機意識,確實做好實體隔離以及存取 控管來保護機敏資料,並搭配定期的管理稽核和使用者認知之教育訓練,才是減少 社交工程攻擊傷害的根本解決之道。(文/資訊處)【圖:上課實況】