2013-03-06 社交工程（Social Engineering）

今天要和大家介紹的是 - 社交工程（Social Engineering）

社交工程以影響力與説服利來欺騙他人，方法是進行巧妙的騙術，或令對方相信其假冒的身分。 

社交工程駭客因此得以利用他人，不管有無動用道科技，都可以獲得想要的資訊。一家公司可能會有防火牆、IPS、IDS等防護軟體，但這些軟體終究是由人去設定。

但社交工程是針對人做攻擊，是沒有任何一套軟體防禦的暸的。惟一能做的就是加強員工訓練，模擬各總情形。

有關許多社交工程案例可以上網自己收尋。但如果你想更深入了解社交工程的奧妙，那麼建議你去看看Kevin D.Mitnick（凱文‧米尼克）的書籍，名稱叫「The Art of Deception」，台灣翻譯為「駭客大騙局」，對岸則叫「欺騙的藝術」。


這本書裡面全部都是社交工程的技巧，及騙局的分析，如果想要了解社交工程，這本書非看不可。

社交工程可以分為兩總，一總是「以人為基礎」，另一總是「以電腦為基礎」。

以人為基礎的社交工程：

藉由與人互動的方式收集想要的資訊，通常會駭客會偽裝成下列的幾總身分：

1.      偽裝合法的使用者（同事、新進員工、廠商等）

Ex：我是某某系的學生（或老師等），我忘記我的密碼了，可以幫我重設密碼嗎？

通常只要有基本資料，在學校要重設密碼不是件困難的事情，況且也不是學校這麼多人對方也不可能全部認識，所以這類的情況算滿容易成功的。

2.      偽裝成重要人物

Ex：駭客偽裝成公司上高層打電話，我是某某部門的xxx，這個IP有異常連線，我要查看這個IP是誰在用的。

通常人們不太會去懷疑電話另一頭的身分，尤其在對方說出自己官階的時候，通常都會照辦，避免不必要的麻煩。

3.      偽裝技術人員

駭客偽裝程公司內部技術人員，打電話給內部員工說我們機房出了些問題，可能要重設帳戶密碼，你能跟我說帳號密碼嗎？

以電腦為基礎的社交工程：

這顧名思義就是利用E-mail、假網頁（釣魚網站）、彈跳視窗告訴你中獎了（點下去你就真的中獎了）、社交網路（fb等）。

e-mail可能偽裝成你的客戶或是你的上司，描述了一堆內容還外帶一個附加檔案，這就是標準的mail社交工程，附加檔案可能有backdoor。

社交工程行前的資訊收集如下：

1.      先對目標作好研究（例如個人的基礎資料）

2.      選擇被害者

3.      與被害者發展關係

4.      利用關係獲得目標

什麼樣的人會成為駭客社交工程的目標呢？

1.      組織成員人數眾多：因人數過多造成不可能每個人都認識

2.      分支辦公室眾多：同上。

3.      教育訓練不足：對任陌生人都沒有警覺性。

4.      組織缺乏適當的安全政策

5.      組織的資訊很容易在網路上取得

以上五點是較有機會成為目標的可能，但還有許多，並不限於再此的五項，只要駭客想，任何人都是他的目標。

基本上社交工程就是利用每個人的心理弱點作為攻擊的手段。

以下五點說明基本的心理弱點：

1.      信任

2.      忽略

3.      害怕

4.      貪婪

5.      道德責任

以上介紹了一些社交工程的基本手法，說了這麼多，你可能會想說那社交工程這類的攻擊該如何防禦呢？有什麼對策嗎？

只能說這類型的攻擊防不勝防，做好教育訓練是最直接的方法。

如果是不認識的陌生來電，一定要想辦法確認到對方的身分（沒有沒謊報或是偽裝的），再來就是對方要求你做一些違反標準程序的事情，這時候就應該要提高警覺了。這些都是可以在平常的時候做的教育訓練。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

參考文獻：

書籍：

1. 駭客大騙局 ISBN：978-986-7964-40-3
2. 資訊安全 – 駭客攻擊與防禦對策 ISBN：978-986-6800-72-6