(作者:蔡國裕老師 / 逢甲大學資訊工程學系)

根據維基百科內容,在資訊安全領域中,「社交工程攻擊」經由與他人的合法交流管道,使得受害者心理受到影響,進而執行某些攻擊者所設定的動作、或洩露其本身機密或機敏資訊。

常見的社交工程攻擊方法有以下幾種:(1) 經由電話偽裝騙取帳號與通行碼,曾經有發生過偽裝公司內部高層,打電話到公司資訊部門謊稱忘記密碼,急需資訊人員協助查詢與提供密碼;(2) 經由電子郵件進行詐騙,如偽造網路銀行通知信,要求使用重設密碼,或是電子郵件夾帶偽裝成文件或圖片檔,其實是惡意程式,一旦不小心點選,便會遭受植入惡意程式,進而蒐集機密或機敏資訊,或是感染內部環境其他系統或設備;(3) 經由即時通訊軟體或社交平台進行詐騙,可能經由破解密碼取得他人帳號(如何進行密碼設定可以參考上一篇「設定安全的密碼很難嗎?」),並在通訊軟體或社交平台傳送偽裝的惡意程式,或是張貼惡意網站連結,標題通常是對方感興趣,例如:這是出遊照片。如果使用者一時不查點選,便會遭受植入惡意程式而進行攻擊。

社交工程攻擊的方法通常是利用人性弱點,或是長期觀察受害者的習慣或喜好,因此受害者很容易就會落入社交工程攻擊的陷阱中。就公司組織或政府單位來說,為了保護重要的資訊資產,要如何防止呢? (1) 加強人員資安教育訓練,不定期舉行社交工程演練;(2) 安裝端點或網路閘道端的防止社交工程攻擊軟體,以掃描所點選的連結是否為惡意連結。而個人本平時也要具備資安意識(1) 不要直接開啟郵件中的附件:因為社交工程往往會偽造電子郵件夾帶惡意程式,所以要經由掃毒軟體掃描後,確保無惡意程式再進行開啟。(2) 不要直接點選郵件中的連結:如果收到一些通知訊息,如更新密碼、或確認訂單資訊,不要直接點郵件所附的連結,而是直接平時使用之瀏覽器所儲存的正確官網進行確認。

【延伸閱讀】

※館藏資源

資訊生活安全:行動智慧應用與網駭實務