社交工程的定義與常見攻擊手法

1.社交工程的定義與運用

利用社交活動不當竊取他人個資、習慣、喜好，來從事不法運用的行為，就是社交工程。社交工程詐騙歷久彌新，社交工程攻擊和釣魚信件目前已被列為資安界最引以堪慮的議題之一，所以持續的用戶教育和宣傳是一件重要的事情。

2.常見的攻擊手法

這裡我彙總了常見的攻擊手法，如下：

• 利用電話佯裝資訊人員，騙取電腦設備的帳號密碼。
• 偽裝委外廠商需要連線，騙取電腦設備的帳號密碼。
• 網路釣魚：駭客大量寄送惡意信件，騙取用戶點擊連結或附件。
• 利用郵件誘騙開啟圖檔或者利用工具誘騙下載，植入惡意程式後暗中收集機密資料。
• 利用即時通訊系統誘騙點選連結後，導致電腦設備中毒。

社交工程攻擊對企業的影響

社交工程攻擊本身只是駭客突破企業網路的一個手段，其真正的危險在於造成資訊安全的破口，從而降低工作效率，造成企業經濟損失。常見的情況有：

• 郵件變臉詐騙。
• 勒索病毒造成資料損失及癱瘓系統、產線停擺。
• 機敏資料外泄。
• 挖礦病毒挖走設備資源。
• 僵屍網路，攻擊打手。

社交工程攻擊案例

1.案例一：台灣肉品貿易商遭遇商業電郵詐騙

台灣一家肉品貿易商日常和巴拉圭廠商透過郵件來往，通常在訂單確認後，巴拉圭廠商將貨品船運到臺灣，肉品貿易商必須在船入港前7天內，把貨款匯到巴拉圭才可提領貨品。駭客透過社交工程攻擊，寄送釣魚信件給肉品貿易商，獲取Mail的帳號密碼之後，再側錄雙方的往來郵件，並在恰當的時機更改匯款帳號，從而給這家肉品貿易商造成了540萬台幣損失。

2.案例二：北市衛生局被入侵導致個資外洩

由於費用原因，一般中小企業網站不會在網站前面加一個WAF，所以駭客先入侵中小企業網站並植入惡意程式，然後再透過這個網站寄送廣告信件、釣魚信件，來引誘政府部門人員點選郵件中的連結，政府部門人員點選連結瀏覽網頁後導致電腦中毒或是被植入惡意程式，從而造成北市衛生局近1年8個月的資料流失，甚至到隔年的年度資安檢查時才被發現。

社交工程防禦

1.標準配備(硬體配置)

• 安裝次世代防火牆：過濾、阻擋有疑慮的網站或流量。
• SPAM郵件過濾系統：阻擋惡意攻擊郵件。
• 安裝次世代防毒軟體：也就是防毒軟體加上EDR，可阻擋惡意流量的網站，Block惡意連結。

2.進階防禦(人員素養)

• 定期舉辦資安教育訓練。
• 定期\不定期舉行社交工程演練。

結語

資訊安全教育訓練不一定每天都要做，但是建議社交工程演練的頻率要高一點，以利提升員工的資安意識，使其有足夠的警覺性，培養出更多思考與檢查的習慣。而演練結果可以結合不同的評核方式，例如：演練失敗的員工，可以再做一次教育訓練，或是結合績效考核辦法，公司可以靈活運用不同的評核方式，以利有效提升員工的資安認知。

想要進階學習《企業網路安全》相關議題，推薦您相關課程資訊

【面授課程】： ESG系列-G企業網路安全攻防(需自帶筆電)

立即下載折扣碼享課程優惠