邪惡等級最高!最黯黑的惡意人士。最難防範的犯罪手法。利用人性弱點的「社交工程攻擊social engineering」

◎﹝警語﹞:
不要自以為做駭客神不知鬼不覺很了不起,犯法的事情一次都不能做,年輕人不要輕易被人利用,將科技能力用於不法,自毀前途,背叛自己的原則,背叛家人或是朋友,難逃良心最後審判,躲在蘇俄背負太多秘密的美國駭客史諾登的下場會如何呢?當駭客的未來人生終將不幸~!!!國內外知名百大企業對於這種行為的人,都會列為「永不錄用」黑名單,連面試機會都不給。「社會穩定進步」的基礎是站在「人民道德感」與「遵守法律規範」之下,這就是歐美國家先進之處。下列說明的各種關於利用高科技電子設備數位通訊軟體觸犯法律的惡意手法只傳遞描述犯罪手法並沒有施行細則。
以下是利用"高科技電子設備數位通訊軟體"及"利用人性弱點的「社交工程攻擊social engineering」"所觸犯法律的相關法條

http://law.moj.gov.tw

●中華民國刑法 第 二十八 章 妨害秘密罪
●中華民國刑法 第 三十六 章 妨害電腦使用罪
●個人資料保護法第42條規定:「意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」
●糾纏行為防制法:糾纏行為視情節輕重,並可處1萬~10萬罰鍰;最重可判處3年以下有期徒刑、拘役或科或併科新台幣30萬元以下罰金。http://www.cna.com.tw/news/firstnews/201804195003-1.aspx
【社交工程攻擊概念】:被選定為"中間人"的不知情者,"惡意指使者"會先透過手機裡的社群世界,先煽動群眾產生『默許"集體霸凌"的共同意識』,接著說服不知情的"中間人",對被害人進行『竊聽、跟蹤與通報行蹤、手機與電腦入侵….等犯罪行為』,嚴重者甚至對被害人進行『詐騙財物、竊取客戶訂單、甚至進而騙取企業所有的一切….等重大犯罪行為』,"惡意指使者"最終理想的目的就是讓被害人財產損失、家庭破碎、名聲敗壞、人財兩失甚至最好能達到任其擺佈的結果,至於不知情但被利用的"中間人"其犯罪行蹤最後真相曝光,結果被害人對"中間人"進行報復行動,"中間人"變成被犧牲的棋子,但是背後操縱的"惡意指使者"卻能收割所有成果,自己安然身退,其實這樣的戲碼在台灣社會新聞版面也不斷真實上演中。

a02l

何謂「社交工程攻擊」(social engineering)?所謂「社交工程」,就是利用人性的弱點進行詐騙!透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙,社交工程攻擊步驟如下:

首先取得一個攻擊目標的背景資訊→向目標騙取資訊→再利用這些資訊向其他人欺騙,重覆這些步驟致達到最後目標。
以影響力或說服力來欺騙他人以獲得有用的資訊,因為只要有「人」,就必然有弱點,因此近年來「社交工程」成為最常用且難以防範的攻擊手法,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。例如駭客通常藉由電話、電子郵件或假扮身分,問些看似無關緊要的問題來進行社交工程。這些手法的特性是攻擊者並不需具備高深的駭客技術或攻擊工具,僅利用人缺乏警覺性或有好奇心的弱點,就可輕鬆騙取個人資料、系統帳號密碼等重要資料,令人防不勝防。,藉由人際關係的互動進行犯罪行為,這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。
「社交工程攻擊」(social engineering)造成極大威脅的原因,在於惡意人士不需要具備頂尖的電腦專業技術,只要企業員工對於防範詐騙沒有足夠的認知,就可以輕易地避過了企業的軟硬體安全防護,而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊,對企業所造成的損害與威脅,完全不下於網路上的各種駭客攻擊。

01 02 03

企業員工對安全防護認知的不足與輕忽,造成了企業資通安全的一大漏洞,公司即使投資了各種網路防護的軟硬體,並訓練員工正確的系統操作步驟、資料儲存程序,再加上良好的保全系統保護機房安全,結果仍可能不堪一擊,因為社交工程利用人性容易相信而上當的弱點,避開了不容易破解的網路防火牆,選擇容易跨越的人性防火牆,只應用了簡單的溝通和欺騙技巧,便突破了企業的安全防護,而突破這些耗資千萬的層層安全防護,所花費的成本竟然只有一、兩通電話的費用。
舉例說明:利用人與人之間的關係,使用者信任來源,例如家人、同事、長官….等等。偽裝成可信任的寄件者發送夾雜病毒的e-mail,當使用者對信件判斷為可信任來源時,戒心的下降打開信件附檔,造成了開啟復健後木馬病毒順利植入的情況。有時病毒不見得只在復健的執行檔中,有時會夾雜於文件、圖檔甚至影音檔中,讓使用者防不勝防。
案例 2010年1月網路巨擘谷歌(Google)帳號遭駭客入侵事件,在國際間引起喧然大波。探究其攻擊手法,不外乎駭客一開始先鎖定特定人士,接著運用多重管道寄送夾帶惡意附件檔案的社交工程手法,搭配IE零時差漏洞,造成谷歌內部員工一時不察下載惡意檔案。這惡意檔案一旦執行後,便自動安裝後門程式,從被感染的系統上竊取機密資訊並傳送給遠端的駭客。據說那一次的攻擊不僅造成重要的原始碼資料遭竊取,另一項重大損失是密碼系統,該密碼系統掌握全球數百萬用戶登入谷歌的電子郵件與商業應用等服務,影響甚大。據網路安全專家表示,谷歌在網路硬體和軟體的防禦系統上所投入的資源相當龐大,網路安全防備系統也算相當完善,但是仍避免不了遭受社交工程的攻擊。由此可見,就算擁有高科技的資安設備、高效能的防護系統,只要需要人為操作,就有遭受社交工程攻擊的危機。
駭客攻擊最常見的方法是社交工程攻擊,亦即將背景危害行為隱藏在使用者允許之表面行為中。簡言之,任何經過使用者允許的網路行為是無法獲得資安設備保護,而僅能由後續行為分析發覺資安事件;而二者的時間若太長則很可能導致蔓延擴散、災情擴大。
最常見之社交工程攻擊類型「惡意掛馬網頁」、「USB 惡意程式」、「惡意郵件」以及「差異性攻擊」,簡述如下。
一、「惡意掛馬網頁」:係指網頁內嵌惡意程式,當使用者瀏覽網頁時會自動執行此惡意程式,造成資料外洩等危害。相關入侵方式另有藉由電玩隱藏後門,或網頁提供「清涼」照片、影片等引誘使用者點選中駭。
二、「USB 惡意程式」:常見的方式是透過自動執行程式(autorun.inf)進行病毒傳播與執行;最新方式是透過隱藏檔及變更副檔名的方式,引誘使用者點選執行偽造的檔案或資料夾導致中上圖係曾經插入中駭電腦的行動碟,行動碟被放入惡意程式「temp.exe」且不顯示副檔名,而正常目錄「temp」被修改成隱藏屬性,因此使用者很容易將惡意程式「temp.exe」誤認為是正常目錄「temp」,執行後將造成危害。防制方式是將隱藏檔及副檔名開啟顯示,如遇到無法將隱藏檔及副檔名開啟顯示,即可能是中毒之徵兆。
三、「惡意郵件」:因使用者皆受防火牆保護,無法採用正面的網路攻擊。主要方式是寄發引誘使用者開啟附件的惡意郵件,可能為惡意程式之副檔名格式包含 PDF、DOC、PPT、XLS、RAR等。過濾惡意郵件可採用下列方式:(一)刪除不明的信件。(二)由虛擬電腦開啟(三)向寄件人確認郵件真偽;但須慎防寄件人是不知情的轉寄者,而將含有病毒之信件轉寄,若此則電話求證亦無法得到正確答案。
四、「差異性攻擊」:目前病毒或後門程式已逐漸不採用大量感染方式散播,而是針對不同的特定對象分別使其感染不同的惡意程式;此種攻擊方式使防毒軟體無法透過病毒碼的更新來修復眾多個別對象的受感染電腦,進而降低防毒軟體之功用。降低社交工程攻擊的主要方式是提升個人資安意識與觀念,加強使用者辨識社交工程攻擊的能力,才能有效防制並降低損害。
應用社交工程的各種攻擊方法除了利用電話詐騙之外,常見的社交工程攻擊還包括︰
(1)電子郵件隱藏電腦病毒
駭客利用社交工程的概念,將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,這些看似朋友所寄來的郵件,卻是應用社交工程的電子郵件陷阱,例如過去造成重大損害的I LOVE YOU蠕蟲,就是一種利用社交工程散播的電腦病毒。
(2)網路釣魚
有一種偽裝知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等,這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結,可能就下載了惡意程式;或者在假網頁上輸入了帳號密碼或信用卡資料等,造成銀行戶頭被盜領或盜刷等的嚴重後果,這是近年來造成個人與企業極大損害的犯罪手法,而網路釣魚就是一種典型的社交工程攻擊。
(3)圖片中的惡意程式
明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一,這些都是利用使用者的好奇心來散佈惡意程式,之前Sobig網路病毒出現在某個含有色情內容的網路討論群組,網友點選了其中像是裸照的內容就會感染病毒,而該病毒總共導致了約10億美金的損失。
(4)偽裝修補程式
另一種社交工程的欺騙手法,就是偽裝成微軟的修補更新程式,因為一般使用者不會覺得這是來路不明的程式,卻沒有防範社交工程也會利用這個漏洞,而將惡意程式隱藏其中。使用者若安裝了這個檔案,不但不會修補作業系統的任何漏洞,還可能被安裝了遠端竊取資料的木馬程式。
(5)常用的"LINE"或是智慧手機的"簡訊"、"即時通"
也是「社交工程攻擊」新途徑
近年來,社交工程傳播惡意程式的途徑擴大至即時通訊軟體,如智慧手機的"簡訊"、"LINE、MSN、ICQ、YAHOO即時通、QQ等。2005年2月,一個使用MSN大量散播的病毒造成嚴重災情,這個電腦病毒會利用MSN自動傳檔給MSN連絡人上的朋友,亞洲各國皆傳出災情,包括台灣的案例也有千起以上。
受駭過程很有可能是先從住家的電腦串聯至公務電腦,因此建議自家電腦的資訊安全亦請一併改善。個人電腦資安依優先順序建議改善方式如下:
一、使用系統最小權限:盡量少用管理者權限開機。電腦使用者多數時間是使用文件編輯與網頁瀏覽,標準使用者的權限即可符合需求,如有必要進行系統設定或程式安裝,再使用系統管理者權限登入執行。因標準使用者的系統存取權限較系統管理員低,可避免中毒時病毒程式直接存取或修改系統檔案。
二、啟動個人防火牆:當內網有電腦中駭後,駭客即可藉由該受駭電腦作為中繼站輕易穿越防火牆,因此單位之公用防火牆立即失去功用。而作業系統提供之個人防火牆在此情況下仍可繼續提供保護,避免遭內部之受駭電腦波及。
三、運用虛擬電腦:使用虛擬電腦軟體(如:Virtual Box、VMWare、Virtual PC 等),在個人電腦建立虛擬的電腦環境可以安裝作業系統、執行軟體測試或開啟不安全的檔案,兩個系統的資料與程式不會互相干擾或影響,可同時運作。因虛擬的電腦環境與實體的電腦環境有所區隔,可避免直接感染實體電腦或存取實體電腦的個人資料。
四、開啟事件檢視器:開啟較詳盡之 Windows 事件檢視器,如應用程式記錄檔、安全性記錄檔及系統記錄檔等,可記錄程式執行事件、有效與無效的登入事件,以及系統元件執行所記錄的事件,有助於事後判讀與調查非法入侵或存取的來源及原因。加大儲存事件紀錄之空間,可保留較長時間之事件紀錄。
防範社交工程的正確觀念:【防人之心不可無】
社交工程的預防方法,包括:隨時具備危機意識,對於任何詢問重要資料的人士,都需小心求證;單位內對權限應加以分級控管,非屬個人分內事宜,不應掌握帳號、密碼等特殊權限,防止因不了解安全等級而不慎外流重要資料;安裝防毒軟體,設定個人防火牆,並定期更新病毒碼;針對電腦應用程式應隨時更新修補程式;設定安全密碼(6∼8碼,包括英數與符號字元),避免太簡單易遭破解的密碼;重要資料檔案要加密防護;相信直覺,當你感覺有一絲絲疑慮時,應相信自己的直覺,多方驗證,預防自己受騙(多一分求證,少一分損害);碰到疑似社交工程行為,應立即回報相關管理單位,並進行事件記錄。
隨著資訊科技日新月異,社交工程手法也不斷翻新。目前駭客傾向採取目標式社交工程攻擊,先鎖定特定目標並蒐集相關資料,接著偽造電子郵件的寄件者來自內部員工或主管的郵件帳號等資料,信件主旨也假冒與公務相關,附件檔案進化為平日常接觸到的應用程式格式,如Word、Excel、Powerpoint、Access、PDF、WinZIP、WinRAR等,再結合木馬程式、零時差漏洞、釣魚網站等先進惡意程式技術,利用精密的混合式攻擊手法,使用者很容易一時疏忽就掉入陷阱中,防範電子郵件社交工程的方法 關閉預覽窗格,設定為純文字讀取模式,避免開啟郵件內的超連結;確認信件來源,不要開啟可疑電子郵件(過於聳動的主旨、不正常的發信時間、陌生人或少往來對象來信、要求輸入機密資料等);避免開啟可疑的附件檔案,如exe、dll、scr、bat、pif、com、vbs、lnk等;避免開啟與公務無關的電子郵件;避免在不安全的網站留下個人資料,包含電子郵件。
預測未來社交工程的技巧,會趨向以更精密、更複雜的手法引誘使用者上鉤。預防社交工程,除了使用者須具備良好的電腦使用習慣外,俗話說:「防人之心不可無」,隨時保持高度的危機意識及警覺心,才能減少社交工程攻擊的傷害。預防社交工程,除了使用者須具備良好的電腦使用習慣外,還得隨時保持高度的危機意識及警覺心。
推薦閱讀
駭客大騙局(子玉譯),藍鯨出版社,Kevin D. Mitnick & William L. Simon(2003)。

Categories: 必備!資安防護

Comments are closed.