今天要和大家介紹的是 - 社交工程(Social Engineering)
社交工程以影響力與説服利來欺騙他人,方法是進行巧妙的騙術,或令對方相信其假冒的身分。
社交工程駭客因此得以利用他人,不管有無動用道科技,都可以獲得想要的資訊。一家公司可能會有防火牆、IPS、IDS等防護軟體,但這些軟體終究是由人去設定。
但社交工程是針對人做攻擊,是沒有任何一套軟體防禦的暸的。惟一能做的就是加強員工訓練,模擬各總情形。
但社交工程是針對人做攻擊,是沒有任何一套軟體防禦的暸的。惟一能做的就是加強員工訓練,模擬各總情形。
有關許多社交工程案例可以上網自己收尋。但如果你想更深入了解社交工程的奧妙,那麼建議你去看看Kevin D.Mitnick(凱文‧米尼克)的書籍,名稱叫「The Art of Deception」,台灣翻譯為「駭客大騙局」,對岸則叫「欺騙的藝術」。
這本書裡面全部都是社交工程的技巧,及騙局的分析,如果想要了解社交工程,這本書非看不可。
這本書裡面全部都是社交工程的技巧,及騙局的分析,如果想要了解社交工程,這本書非看不可。
社交工程可以分為兩總,一總是「以人為基礎」,另一總是「以電腦為基礎」。
以人為基礎的社交工程:
藉由與人互動的方式收集想要的資訊,通常會駭客會偽裝成下列的幾總身分:
1.
偽裝合法的使用者(同事、新進員工、廠商等)
Ex:我是某某系的學生(或老師等),我忘記我的密碼了,可以幫我重設密碼嗎?
通常只要有基本資料,在學校要重設密碼不是件困難的事情,況且也不是學校這麼多人對方也不可能全部認識,所以這類的情況算滿容易成功的。
2.
偽裝成重要人物
Ex:駭客偽裝成公司上高層打電話,我是某某部門的xxx,這個IP有異常連線,我要查看這個IP是誰在用的。
通常人們不太會去懷疑電話另一頭的身分,尤其在對方說出自己官階的時候,通常都會照辦,避免不必要的麻煩。
3.
偽裝技術人員
駭客偽裝程公司內部技術人員,打電話給內部員工說我們機房出了些問題,可能要重設帳戶密碼,你能跟我說帳號密碼嗎?
以電腦為基礎的社交工程:
這顧名思義就是利用E-mail、假網頁(釣魚網站)、彈跳視窗告訴你中獎了(點下去你就真的中獎了)、社交網路(fb等)。
e-mail可能偽裝成你的客戶或是你的上司,描述了一堆內容還外帶一個附加檔案,這就是標準的mail社交工程,附加檔案可能有backdoor。
社交工程行前的資訊收集如下:
1.
先對目標作好研究(例如個人的基礎資料)
2.
選擇被害者
3.
與被害者發展關係
4.
利用關係獲得目標
什麼樣的人會成為駭客社交工程的目標呢?
1.
組織成員人數眾多:因人數過多造成不可能每個人都認識
2.
分支辦公室眾多:同上。
3.
教育訓練不足:對任陌生人都沒有警覺性。
4.
組織缺乏適當的安全政策
5.
組織的資訊很容易在網路上取得
以上五點是較有機會成為目標的可能,但還有許多,並不限於再此的五項,只要駭客想,任何人都是他的目標。
基本上社交工程就是利用每個人的心理弱點作為攻擊的手段。
以下五點說明基本的心理弱點:
1.
信任
2.
忽略
3.
害怕
4.
貪婪
5.
道德責任
以上介紹了一些社交工程的基本手法,說了這麼多,你可能會想說那社交工程這類的攻擊該如何防禦呢?有什麼對策嗎?
只能說這類型的攻擊防不勝防,做好教育訓練是最直接的方法。
如果是不認識的陌生來電,一定要想辦法確認到對方的身分(沒有沒謊報或是偽裝的),再來就是對方要求你做一些違反標準程序的事情,這時候就應該要提高警覺了。這些都是可以在平常的時候做的教育訓練。
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
參考文獻:
書籍:
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
參考文獻:
書籍:
- 駭客大騙局 ISBN:978-986-7964-40-3
- 資訊安全 – 駭客攻擊與防禦對策 ISBN:978-986-6800-72-6
沒有留言:
張貼留言
歡迎大家指教 :)
如果在文章中關於技術方面有誤還請大家指證,謝謝!