編輯部
社交工程 (Social Engineering)是什麼?簡單來說,就是利用人性的弱點,進而達到詐騙、入侵的目的。「社交」這二個字,包含的範圍廣之又廣,只要有 2 個人以上的交誼環境,都算是這個範疇,而最大的漏洞,就是在「人」這個字上面。
任何環境都會有不同層面的安全問題,即使沒連上網路的電腦,都會面臨一些潛在的威脅,所以不管做任何事情,一定要把安全問題納入考量。
下面簡單列出應該要考慮的幾個項目:
我進行的工作類型或管理的系統可能會面臨何種威脅。
資料的種類、價值性及存放的位置。
存取系統或文件的授權動作。
當安全性因素出現在腦海中時,不要假設入侵者只會從公司外部進行攻擊;有很多時候,入侵者都是內部員工。並且經常進行問題假設,以找出安全因素在哪邊。例如:某人試圖影響系統安全,會發生什麼事?
簡單思考每個人的「工作類型」,並看看該員工以他的「職位權限」,會對「安全性」造成怎麼樣的傷害,這個方式可以方便檢視企業或個人的弱點在哪裡。這絕不意味著您該把每個人當作罪犯,而是要讓我們做任何事情都能更加警覺。
舉個實例來說好了:
引用 nownews 在 2009.12.14 的新聞主題『又是國軍照片外洩!女兵攜相機入營,掀衣自拍、洩漏機密樣樣來。』
引用上面的假設動作來說,工作類型、職位權限、安全性可以排列成下面這段文字:
「某中士違反軍紀在軍中進行拍照,並 PO 上網路,不小心洩漏了軍事機密。」
講到這邊,大家應該對社交工程的定義,都有了一定程度的瞭解,接下來就回歸到我們的主題了,以時下最流行的部落格、微網誌…等,來探討危機在哪邊。
Q1:社交平臺的威脅在哪裡?應該具備的常識?
e-Ray Secure 答:既然叫做社交平臺,當然離不開人性的弱點啦!千萬不要忘了一點,社交平臺為了生存下去,大多會與廣告商合作,刊登各式各樣的廣告頁面連結,以維持網站的正常運作,雖然是刊登在該網站上面,一旦出現問題,社交平臺業者大多只會說提供刊登、使用服務,請你直接與廣告業者聯絡,所以為了保護自己,一定要特別小心。
該威脅種類大概可以分為二種類型,簡述如下:
一、 主動型威脅:說白一點,就是電話詐騙的手法,詐騙的一方,會不斷地打電話給被害人,詐騙內容當然是離不開角色扮演,不然怎麼會博取你的「貪心、擔心、同情心、色心」,以達到詐騙的行為,詳細案例可以到內政部警政署 165 反詐騙網址(http://www.165.gov.tw/index.aspx)去瞧瞧,提高自己的警覺心。
二、 被動型威脅:相對於主動型,此種威脅大多是使用者的不當行為所造成的,例如:
1. 上傳個人大頭照、私密照或包含不當背景的照片。
2. 上傳過多的個人資訊,例如:生日、電話號碼、詳細學經歷…。
刊登過多的個人資訊,容易讓不法人士,進一步利用,來達到主動式威脅的動作。
三、 混合式威脅:例如電子郵件社交工程的攻擊手法,假冒寄件者,進行網路釣魚的動作。
1. 使用誘人、感興趣的主旨與內文。
2. 含有惡意程式的附件。
3. 利用零時差攻擊。
即是主動發送大量信件,被動誘使使用者去進行點選連結、附件,以觸發威脅的動作。
Q2:面對社交工程威脅手法,該如何防止?
e-Ray Secure 答:社交工程威脅手法,不僅僅是發生在社交平臺而已,如前文所提,只要有 2 個人以上的交誼環境,都算是這個範疇,例如:即時通、電子郵件、釣魚網站等,另外再配合木馬或惡意程式去發展出多采多姿的攻擊手法。
該手法會不斷地推陳出新,以因應人們不斷提高的警覺心,我們僅能有效降低威脅的機率,並無法完全去避免威脅,為什麼呢?因為其中包含了最難管理的一個變數,那就是「人」,零時差的威脅,對上我們吸收新資訊的空窗期,若是時間相隔太長,就容易掉入陷阱,成為被害者一族。
因此我們身處在複雜的網路環境中,不管使用任何服務,都需要「保持清晰的思考,並配合驗證分類行為」,以前文提到的「工作類型、職位權限、安全性」為輔,來確認使用者的安全問題以及背後會產生的威脅,進而發展出個人的自我防禦意識,走出被害者一族的陰影。
(作/奕瑞科技企業服務組劉清賢)