饒貽婷
(中國文化大學學士後社會工作師學分班學生)

 

趨勢科技今年的12月8日發表一份未來願景報告:在《2030專案》中,透過一個虛構市民、企業及政府機關的視角來檢視 2030年的世界,描繪出十年後的世界模樣,以及人類生活將如何演變並衍生新式網路犯罪,並分析網路資安威脅的演進及衝擊,目的是要提醒政府、企業及個人預見網路犯罪的未來發展和提早作準備以防範之,然而,各類型的網路犯罪和資安威脅,都會使用社交工程的技巧,尤其是在目標式攻擊中使用的頻率愈來愈高,因此,在面臨新式網路犯罪,該如何從當前科技潮流來審視網路資安,其中必有嚴肅檢討之必要。

所謂的社交工程(Social Engineering)是藉由人際關係的彼此互動中,利用人性弱點的詐騙技術,以獲取帳號、通行碼、身分證號碼或其他機敏資料,藉此獲得有用的資訊的一項犯罪行為,這也是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。它避開了不容易破解的「網路防火牆」,而是選擇容易跨越的「人性防火牆」,以假託、調虎離山、在線聊天電話釣魚、下餌、等價交換、同情心、尾隨等手段,利用人類先天具有的情感,例如同理心、同情心、好奇及心生恐懼等脆弱人性來突破資安防護,遂行其非法的收集資訊、行騙和入侵電腦系統的存取與破壞行為。

事實上,早在病毒問世之際,網路罪犯便開始使用社交工程技巧,雖然,電腦威脅不斷進化,但是,有一個客觀的事實從未曾改變,那就是:社交工程技巧的有效性。它涵蓋許多操控人類心理的藝術,建立在使人決斷產生「人類硬體漏洞」的認知偏差基礎上,先取得攻擊目標的背景資訊,再利用人類輕信他人的天性來假冒身分,透過交談與受害人建立信任,進而,向受害人要求資訊、採取特定行動或透露機密資訊,藉此引誘出人們採取網路罪犯所期待的行動。對此,社交工程亦造成極大的威脅,乃是在於惡意人士不需要具備頂尖的電腦專業技術,只要人們對於防範詐騙沒有足夠的認知,騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊,對於個人或企業所造成的損害與威脅,是不亞於網路上的各種駭客攻擊。

實際上,各式各樣的資安威脅,都會使用社交工程技巧,對此,社交工程技巧雖然是已經流傳多年,但是,仍然一再被利用,並且不斷演進,在目標式攻擊中使用的頻率也就愈來愈高,除了利用電話佯裝資訊人員,騙取帳號及通行碼之外,還利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼,像是網路釣魚;抑或是以電子郵件包裝著惡意木馬程式的電子郵件入侵受害者電腦,比如垃圾郵件;以及提供工具、檔案、圖片為幌子,誘騙使用者下載惡意工具軟體、電腦蠕蟲等,乘機植入惡意程式、暗中收集個資;乃甚至利用即時通訊軟體偽裝親友、同事、委外廠商之維護人員等來訊,誘騙點選來訊中之連結後中毒,乘機騙取帳號及通行碼等等多元的詐騙與攻擊手法,諸多利用人性弱點來騙取機密資料,實乃是一種非常難以防範的社交工程攻擊模式。

不僅如此,網路罪犯以往只會利用全球性事件或新聞來引誘使用者,但是,現在電腦蠕蟲、大量發信程式及其他資安威脅,則是會整合社交工程技巧以鎖定世界上的某個區域或特定國家,利用各地的重大事件或新聞為誘餌,以讓特定國家的人產生興趣,這除了是運用大規模社交工程技巧的網路罪犯以躲避偵測外,同時,還能引發嚴重的災情,尤其是經由網頁感染的惡意程式佔所有惡意程式的50% 以上,社交工程惡意程式專門假冒其他軟體或隱藏在其他軟體之內,引誘使用者下載並安裝該軟體,藉此趁機安裝惡意軟體,不論對個人或對公司都會造成嚴重的風險,進而,導致機密資訊遭盜用竊取、損毀或外流,因此,必須透過更精良的技術和資源來防範,也是網路資安目前要努力的方向。

事實上,比多數侵入式的惡意軟體攻擊更可怕的是,社交工程陷阱攻擊更是難以防禦,因為它針對的是「人」,而不只是「系統」,「人性」往往是最大的安全漏洞。冀此,防患未然是勝過於亡羊補牢,最有效的方法莫過於要了解它們、知道該注意什麼、避免什麼跟小心什麼,對此,首先,當對方強調是緊急事件來提出不尋常的請求或可疑徵兆;以及隨時具備危機意識,保持小心求證的戒心來提高警覺;再則,確認要求者的身分,以及遵守公司安全政策與程序,例如依資料分級制度流通資訊;最後,遇到疑似攻擊事件時應立即向有關單位通報。唯有提高「四不警覺」:不未經確認即提供資料、不開啟來路不明的電子郵件及附加檔案、不連結及登入未經確認的網站、不下載非法軟體及檔案,提早建立正確防範社交工程的觀念、教育訓練及宣導。

總之,科技創造始終來自於人性,而人性卻經常迷思在科技創造中,在面對科技潮流下,應具備高度的危機意識及警覺心,審視網路資安的未來情境,才能避免社交工程的各種攻擊傷害。