HiYun Logo

社交工程攻擊案例

2023/08/17 | 15 mins read

社交工程針對資訊安全中不確定性最高的因素——人,對個人或組織客製化陷阱,來進行滲透、取得未經授權的資訊,進而發動網路攻擊。社交工程難纏的原因除了人的不確定性以外,操縱人心的陷阱千變萬化,即使已經多加防範,還是很容易因為社交工程詐騙所製造出的迫切情況以及恐懼的情緒受害。 除了遵守資訊安全措施,還可以這麼做:

  • 收到電子郵件或簡訊時,保持警覺。
  • 避免開啟陌生郵件的夾帶檔案。
  • 使用雙重身份驗證 (2FA) 或 多重身份驗證 (MFA)。
  • 定期更新電腦和網路安全軟體。 多了解社交工程和真實案例也有助於防範這類的資安威脅。今天和嗨雲一起看看五個社交工程詐騙的案例吧!

📚 延伸閱讀:社交工程是什麼?如何防護?

社交工程案例 #1 : Uber

2022年9月,全球知名的交通網路公司 Uber 傳出遭到駭客以社交工程攻擊。駭客首先是在暗網取得了 Uber 一名約聘雇員的登入資訊,並多次試圖以該員工的身份登入公司系統,最後在有開啟雙重認證功能的情況下還是順利登入公司網路。駭客由此再進入 Uber 其他內部系統,包含 G-Suite 以及通訊軟體 Slack,並在其頻道中貼出挑釁訊息。 發生此次社交工程攻擊事件之後,Uber 公司採取了以下的對應措施:

  • 找出被入侵或可能被入侵的員工帳號,並已經移除他們訪問 Uber 系統的權限或要求重新設定密碼。
  • 停用受影響或可能受影響的內部工具。
  • 已重新生成了內部服務的金鑰重置了訪問權限。
  • 鎖定了程式碼庫,防止程式碼遭竄改。
  • 加強身份驗證機制和多重要素驗證(MFA)政策。
  • 持續監控內部環境,注意可疑活動。

社交工程案例 #2 : Google 和 Facebook

在2013-2015年間,一名立陶宛的詐騙犯使用假公司、假 Email 和偽造的文件從 Google 和 Facebook(現已改名 Meta)兩大科技巨頭騙取多達百萬美金。里馬薩斯卡斯 (Rimasauskas) 假冒長期和兩家科技公司來往的台灣硬體設備商廣達電腦的名義,偽造請款文件和簽名,並逼真地模仿了廣達電腦的信件風格向 Facebook 和 Google 請款。

除了信件內容逼真且針對兩家公司,里馬薩斯卡斯顯然對於兩家公司的請款流程以及核准方式有一定程度的熟悉,才能成功以高針對性的魚叉式釣魚攻擊騙取鉅額。

社交工程案例 #3 : 美國勞動部

同樣是釣魚攻擊,比起 Google 和 Facebook 所受到的魚叉式釣魚,2022年1月假冒美國勞動部大規模發出的釣魚信件,針對性則沒那麼高。這個社交攻擊案例則是釣魚信件大量寄出,邀請收信者參與政府標案。

此次社交攻擊事件裡,釣魚信件中勞動部的假網站域名包含:dol-gov[.]com, dol-gov[.]us, bids-dolgov[.]us 等,並非無意義的域名或是以相似的符號代替(例如:以數字1代替英文字 l)。如果沒有特別查證美國勞動部的網址,很難察覺釣魚網站網址有問題。由此可見,近年釣魚攻擊也持續進化。

而點擊信件中的假網址後,受害者會被指示登入 Office 265 的帳號密碼,駭客藉此獲得登入資訊。

社交工程案例 #4 : Mattel

近日因電影《芭比》大紅的美國玩具商 Mattel(美泰兒)也曾是社交工程詐騙的受害者。2016年時, Mattel 有財務部員工收到 CEO 詐騙類型的社交工程攻擊信件,並因而同意匯款三百萬美元至中國銀行。此次 CEO 詐騙得以成功的原因主要有:

  1. 假冒新 CEO 簽名,提高信件可信度
  2. 信件內的要求符合公司平常匯款流程及要求
  3. 假冒 Mattel 合作的中國廠商

幸運的是,Mattel 很快發現自己被社交工程手段攻擊,聯絡相關當局阻止並追回款項。

社交工程案例 #5 : Twilio

美國通訊公司 Twilio 在2022年8月察覺到客戶帳號受到未授權的存取,並追溯客戶資料外洩事件至源頭後,發現起因於社交工程詐騙。駭客假扮成 Twilio 公司的 IT 員工,寄送信件把使用者導向釣魚網站,重設密碼,Twilio 員工的登入資料因而外洩,駭客再以 Twilio 員工的身份登入公司內部系統,竊取 Twilio 客戶資訊。

值得注意的是,此事社交工程攻擊事件中使用的釣魚網站的網址和域名也是難以一眼就發現是假冒的,包含:

  • twilio-sso[.]com
  • twilio[.]net
  • twilio[.]org
  • sendgrid-okta[.]org
  • twilio-okta[.]net
  • twilio-okta[.]com

而 Twilio 公司真正的網址為:twilio[.]com,若沒有仔細觀察,很容易掉入釣魚網站陷阱。

提防社交工程攻擊

從上面的五個案例看來,提防社交工程攻擊除了提高警覺、注意域名、使用多重認證等,也需要多考慮:

  • 使用有效的多重認證機制(駭客可以 MFA 疲勞攻擊突破推播驗證的 MFA)
  • 是否親自與當事人確認匯款事宜、定期檢視公司核款流程
  • 網址的域名除了公司或機構名稱拼字正確以外,後綴或是其他部分是否正確

並同時監控網站和 IT 系統,以即時發覺異常現象,保護資訊安全。

利用嗨雲專業資安防護,守護資料安全!

HiYun 嗨雲與各大雲端廠商攜手合作,提供最全面的資安與監控服務,能根據您的需求與架構,規劃最適合的資安防禦解決方案。

立即查看 HiYun 嗨雲 專業資安防護,打造堅實的安全防線!

# 資安
Drop us a message
Loading ...
相關文章

更多延伸技術文章,點擊了解更多

cover image
2024/05/24  |   資訊安全

資安是什麼?為您介紹資訊安全的威脅與防護方法

cover image
2024/03/19  |   資訊安全

完整介紹資料外洩!提供本土事件整理,教你企業、個人預防小撇步

cover image
2024/03/07  |   資訊安全

零時差漏洞攻擊好危險!連 Cisco 也遭殃?案例分享、解決方案在這