什麼是社交工程陷阱?

10.22.2020  - 作者  在 安全性

駭客和社會工程是兩種不同但卻相關的詐騙模式。

駭客是指某人在未經授權的情形下登入電腦網路或取得資源,無論他們實際上是如何進行此行為;而社交工程則是指某人使用一些手段以取得他們不應該擁有的登入資訊。

依照此廣泛的定義,社交工程與詐騙和間諜的手法一樣古老,但是人們通常是在取得某種電腦系統登入資訊的情形下才會談論到社交工程。

“社交工程” 一詞是由駭客 Kevin Mitnuck 所創建的,他因其駭客攻擊而聲名大噪,他描述了他用來行騙、脅迫、甜言蜜語,或是其它操縱手法以取得他想要的資訊的技術。

誰是社交工程師?

這就要看您想為其定義的廣泛程度,任何人都可能成為真正的社交工程師,但是從術語更具體的意義上來說,社交工程師被分為三大類:

政府角色

  • 情報人員
    在這種情況下,社交工程師希望能夠獲得對其政府有價值的資訊。
  • 執法人員
    執法人員也可能會使用社交工程師的技術來進行調查,或者以較不道德的行為進行調查,以恐嚇或騷擾的方式攻擊目標,像是一些實行壓迫性政權的國家。
  • 網路戰士
    在 2016 年的選舉中,網路戰已成為公眾意識的重要一環,然而,網路戰也會利用社會工程去直接攻擊其它的國家,像是美國暗中地將 Stuxnet 武器安裝在邏輯控制器周圍以破壞伊朗的濃縮武器級鈾的離心機,Stuxnet 是一種工業控制機器的先進蠕蟲。

企業角色

  • 安全專業人員
    滲透測試者是公司僱用的人員,以測試其網路和系統的安全性。他們可能會使用社交工程來嘗試獲取訪問權限。
  • 資訊經紀人
    資訊經紀人是專門販售資訊的公司。資訊經紀人有時後會使用社交工程以取得目標的資訊。
  • 獵頭人員
    獵頭人員是由公司僱用來為其招募特定人材的人員。他們可能會使用社交工程以取得更多關於潛在招募的資訊,像是偽裝成目標認識的某個人,並要求他們進行相關測試以確認他們是否擁有該公司尋求的技能。
  • 公司間諜活動
    公司也可能僱用一些演員來收集有關其競爭對手的情報。

犯罪

  • 身份小偷
    有時後身份小偷會試圖偷取您的身份以便進入您的銀行帳戶,但出於多種原因,他們也可能是想冒用您的線上身份。
  • 心懷不滿的員工
    一位心懷不滿的員工可能是一位危險的潛在社交工程師,因為他們可能非常熟悉您所執行的所有安全程序,也可能很清楚如何透過經驗共享的方式或是對同事的了解而讓現有員工放鬆警戒。
  • 詐騙人員
    詐騙人員會依靠社交工程來操弄您的生活。

社交工程的動機是什麼?

人類的動機似乎很複雜,但是您不必成為心裡學家就可以了解到,社交工程通常歸結為一些基本動機。儘管部份的動機可能取決於上述的特定角色,但是社交工程師仍可能會因為以下幾種原因而對詐欺民眾而感到有興趣 :

  1. 金錢
    社交工程師可能是為了金錢才踏上這條路。當然,這是一個非常熟悉的動機,而且它是大部分網路釣魚和其它詐騙的核心目標。通常都是為了從您那邊騙走一些錢財。
  2. 政治
    除了使用駭客技術的 “駭客主義者” ,其中可能包含社交工程陷阱,以與他們有政治分歧的個人、公司、政府,或是非營利組織為目標之外,政府特工也經常會使用社交工程去追蹤政治對手,無論是在國內還是國外。
  3. 娛樂
    一些最好的社交工程師通常至少有一部份的目標是出自於一種快感,因為他們可以把某些人耍的團團轉。而這種動機也跟下方幾種原因有關:
  4. 自我
    當然也可以說您還從中得到了一些大膽的成就。
  5. 報復
    又或者這與執行一個大的駭客任務無關,而是屬於比較個人的因素,像是前雇員針對把他們解僱的雇主。
  6. 社會歸屬感
    每個人都希望自己能夠屬於某個群體,然後在那個群體裡面可以成為對他人有影響立的人。一個社交工程師可能會對打動他們所屬或想要成為的群體而感到有興趣。

社交工程是如何運作呢?

無論社交工程師是誰,也不論他們的動機為何,社交工程都可以歸結為能夠說服某人提供您不應該擁有資訊或訪問權限。

通常來說,社交工程仰賴某種策略來卸下某人的心房。一般來講,社交工程師會透過使用某種叫做 “假托技術” 的方式來操作。

舉個例子,社會工程師會透過假冒某人打電話到銀行以騙取其銀行帳戶資訊。

它還可能是佯裝成送貨員,或者冒充同事(尤其對大型組織來說是很常見的問題),甚至是老闆以進入工作場所。

“假托技術” 的研究和計劃越多,其成功的可能性就越大。

社交工程師如何獲取訊息?

獲取訊息通常是社交工程師的目標,但通常也能夠建立所需的信任,以取得必要的敏感訊息的起點。

首先,線上通常都有許多可以免費取得的訊息供社交工程師使用。這些可能是無害的訊息,例如出生日期、電話號碼、電子郵件,或是實體地址。

有了這些基本訊息,社交工程師就可能可以取得像是銀行帳戶這類的個人帳戶的訪問權限。

他們還可能在垃圾信件夾中潛水,收集需要的訊息。有時候,個人和公司可能會丟棄一些資訊,而這些被丟棄的訊息會透露社交工程師需要知道的訊息,因此,若您細讀他們的垃圾信件就有可能會發現一些能夠供社交工程師使用的關鍵訊息。

最後,情報人員有一種稱為“誘因” 的方法。這是在沒有詢問的情形下取得資訊的藝術。一般來說,它是具有針對性,但可能是透過線上或是親自所進行的一般對話去收集訊息。特別是當您擁有特別敏感的訊息的訪問權限時,請務必小心您所提供給別人的資訊,即使是跟陌生人的一般閒聊。描述您的工作空間看似是件無害的事情,但實際上它可能會讓別人有機會進入您的工作室。

社交工程是如何操弄民眾呢?

社交工程中有幾種操作形式。通常他們在進行這樣的操作時會利用某種認知的偏見。下方為一些常見的技術:

  • 權威請求

如果您熟悉 Milgram 的實驗 ,您會發現人們會因為將某人視為權威而較為聽信他的話,他們可能會扮演成警務人員、經理,或者只是一個看起來是負責人的角色。

在社交工程的場景中,有些人會聽從社交工程師的話,因為他們相信他們有著一定的權威。這種作法常被網路釣魚者使用,而這些網路釣魚者比 “尼日利亞王子” 的騙局還要高明。舉例來說,他們可能會偽裝成您的老闆寫一封郵件給您,騙您說他正在跟客戶開一場重要的會議,需要您幫他移轉資金好讓您們的客戶開心。把他們自己假裝成您的老闆,就是一種權威請求的作法。

  • “沉沒成本”

“沉沒成本” 這個謬論是一種信念,意思是一旦您對某件事情(無論是時間,金錢還是精力)投入了大量資源,即使該投資被證實是無益的,您應該會繼續這樣做,為的就是要 “證實它”。社交工程師可能會利用這種趨勢來促使您採取行動,而您可能也會這麼做,因為您前面已經花了那麼多的力氣。

  • 一致性

這個與前述的 “沉沒成本” 的謬論相似,這兩者都是利用人們從根本上想要保持一致的想法。您可能會以非常微妙的方式被它操縱。這種技術經常使用於刑事訊問中。 例如,與其要求嫌犯對他們所犯下的罪行交待地一清二楚,不如要求嫌犯描述較小的細節,像是事件所涉及的人,地點或事物等等。偵查員可以使用這些證詞去引導嫌犯的行為,使其與先前的陳述保持一致。任何人都能夠使用這種技術去取得其他人的資訊。

  • 互惠

“互惠” 是社會心理學中的一個術語,基本上可以歸結為以一個積極行動來回應另一個積極行動。

在社交工程的背景下,它可能會有幾種形式。經典的例子是誇獎別人。受到別人的稱讚自然是件值得開心的事,它可能會讓某人想要做些好事作為回報。然而這也是用於談判和價格斡旋的情況。當某人從他本來的報價中做了一些讓步後,另一個人就會覺得自己應該也要做些讓步,因為他把第一個人先做出的讓步作為一種 “禮物”。

  • 安全性或是錯失恐懼症(FOMO)

社交工程師可能也會扮演一個讓您感到害怕的角色。通常是營造一種有急迫性的情景,進而讓您放下警戒心。

例如,“如果您現在就行動…” 或 “只剩下幾個…” 等短句,促使人們在沒有仔細檢查的情形下就去點擊電子郵件中的連結。

  • 社會證明

這是另一個社會心理學中的概念,但基本上它的效果就如同調酒師在夜晚開始時先將錢放入小費罐裡那樣。這樣一來,可以誘使客戶放進更多小費,因為他們認為別人也給了小費。它創造了一種社會義務,去促使人們做出他們本來不想做的決定。

上述所有都是可以操弄別人的方法,正如上面提到的許多範例,它們並不總是在社交工程的背景下發生,或者它也不是惡意的。然而,因為它們丈著人們先天的偏見,從而引導人們落入洩漏個資的陷阱中。

如何保護您自己免受社交工程攻擊呢?

唯一可以避免社交工程詐騙的方法就是小心。如果您是在敏感的地區工作,請勿與剛認識的人談論細節。如果您提出問題或是接到客戶的來電,請小心那可能不是當事人本人,他們可能會使用一些技術從您身上獲取訊息。

不要變成別人的代罪羔羊。

如果您不是接聽電話的人,但是是有決定權的人,請確保您的團隊都已經受過相關的訓練,以防止他們受到社交工程的詐騙。

最後,網路釣魚攻擊是最常見的社交工程。當您收到電子郵件詢問您任何上述的敏感訊息時,請不要著急。仔細驗證每一個請求。慢慢來,並且確認所有連結以及寄件者的連結。要求聯繫您的人提供您相關證明。

如果您覺得您變成了受害者

⚠️ 立刻回報!

聯繫任何可能需要監控您的帳戶的人,例如您的銀行或電信業者。如果敏感的工作訊息可能會被暴露,請與您的雇主聯繫。更改所有密碼,並在必要時向警察備案。

請不要害怕查證!例如,如果您的銀行打電話給您,要求他提供您分機讓您回撥電話。