社交工程 (Social Engineering) 是一種透過操縱人的心理達到攻擊目的的網路攻擊手法。雖乍聽之下威脅性不大,不過根據 IBM 的資料外洩報告,社交工程引起的資料外洩平均造成410萬美元的損失。這讓各個公司企業不得不認真看待社交工程,並做好防禦措施。 社交工程是什麼?為何能造成巨大金額損失?本篇內容將帶領讀者認識社交工程,並教您防範技巧!
何謂社交工程攻擊?如何定義?
社交工程 (Social Engineering) 概念自社會學的社會工程 (Social Engineering),社會工程是指大規模地由上而下影響特定族群對於某事的看法或社會行為的活動,通常由政府、媒體或是私人團體發起。
而在資安領域,社交工程 (Social Engineering) 衍生為以操縱人心的方式誘使別人做出特定行為,例如洩漏機密資訊,目的為竊取資料、獲得利益、入侵設備、冒用身份等。社交工程通常利用人的各種情緒與性格特質,像是同情心、恐懼或善良的本性等。也因此,社交工程不一定需要太多的專業技術,門檻較低且有效而廣為網路罪犯使用,基本條件人和詐騙手法即可。
社交工程詐騙生命週期
一般來說,社交工程攻擊的生命週期可以分成四個部分:
- 背景調查: 網路罪犯會鎖定受害者並收集相關背景資訊及選擇攻擊方法。
- 設下誘餌: 以捏造的故事騙取受害者的信任,並且主導跟受害者的互動。
- 騙取資訊: 取得受害者信任後 ,網路罪犯會開始發動攻擊、騙取資料。
- 切斷聯繫: 網路罪犯會移除使用惡意軟體蹤跡,並以自然的方式結束與受害者的交流。
社交工程詐騙攻擊手法有哪些?網路釣魚最常見!
常見社交工程攻擊手法總共有七大項,來看看你曾遇過哪些:
- 網路釣魚 (Phishing): 透過電子郵件或簡訊誘騙點擊惡意連結或附件,是最常見的社交工程手法。
- 假託 (Pretexting): 有時也稱作冒名,攻擊者會藉由捏造不存在的急迫需求迫使受害者交出敏感資訊。
- 下餌 (Baiting): 手法和釣魚類似,區別在於下餌利用人的貪念或好奇心,例如以金錢或物質回報誘惑受害者。
- 等價交換 (Quid Pro Quo): 攻擊方式是以受害者會想要的東西,誘惑他人提供個人資料。
- 尾隨 (Tailgating): 利用不看重出入管制規定的心態竊取重要資訊,是一種相較簡單直接的攻擊手法。
- CEO 詐騙 (CEO Fraud): 以公司內高階主管名義要求員工採取某行為或提供機密資料,是常見的社交攻擊。
- 恐嚇軟體 (Scareware): 讓受害者誤信電腦感染惡意病毒或中勒索病毒,並透過提供防毒軟體導向惡意網站。
我們閱讀上述社交工程攻擊手法時,也許會覺得這些手段過於簡單,但人在遇到緊急狀況,處在壓力和恐懼情緒之下時,很難理性看待自己身處的情境。而根據統計,社交工程攻擊造成的資料外洩會帶來巨額損失,更是不爭的事實。因此,如何避免社交工程在任何企業都應該是重要且需要被關注的議題的議題。
社交工程如何防範?三大方法提供你應對!
遵守以下三大做法,可以保護自己和企業避免遭受社交工程攻擊:
- 對收到的資訊保持警覺: 收到電子郵件或簡訊時時刻保持警覺。特別注意:發送者、裡面的網址、內容是否很緊急、意圖使人恐懼、內文是否有過多錯別字、簡體字、不是本地人的用法、要求提供個人資訊、要求下載東西等,避免開啟陌生郵件的夾帶檔案。
- 開啟身份驗證機制,不把密碼存在瀏覽器: 開啟雙重身份驗證 (2FA) 或 多重身份驗證 (MFA) 功能,或是使用第三方認證工具,例如:Google Authenticator 或 Microsoft Authenticator 等,另外避免把密碼儲存在瀏覽器裡。
- 即時將軟硬體更新到最新版本: 定期更新電腦和網路安全軟體,並遵守公司資安政策。
社交工程攻擊如何防護?讓嗨雲為您的資安把關!
面對網路層出不窮的攻擊手法,除了自己平時應小心謹慎以外,也可以使用各式資安和監控解決方案全面鞏固安全防護網,從人和科技的方面,保護資訊安全。HiYun 嗨雲與各大雲端供應商合作,能根據企業的需求與架構,為您量身打造最合適的解決方案!
立即查看 專業資安防護,我們將實現您的資料安全!
