資 訊安全小貼士
社交工程攻擊個案(一)



0 張相片




早前提到有關注意「社交工程攻擊」的要點,今期將透過一 些個案,希望同事提高警覺。

在社交工程攻擊事件中,騙徒常自稱為「獲授權人士」。因為這種身份可減少對方的警覺性,而且相比起冒認親戚朋友等,亦較難核實身份。曾有測試人員嘗試聯絡 十二名員工,以網絡管理員的身份詢問他們登入系統的名稱和密碼,其中九人在沒有拒絕的情況下,提供了自己的登入名稱和密碼。

大家可從以下例子,得知入侵者如何利用「社交工程攻擊」入侵他人電腦。

史提夫計劃入侵一間在網上很少留下痕跡的公司。搜尋後,他發現一名高層人員在一個網上郵票討論區中,使用了公司的電郵地址來登記,以及表示對生肖年代的郵 票有興趣。史提夫因此登記了一個名稱與集郵有關的網址,然後在網上收集一批生肖年代郵票的照片,以製作一個疑似「集郵者」的簡單網站。之後史提夫發電郵給 那名公司高層,內容指剛去世的祖父,留下了一批生肖年代的郵票,知道他有興趣,所以打算出讓給他。電郵更寫了先前登記的集郵網址,讓他可看看那些「珍 藏」。

在發出電郵前,史提夫為了令該高層人士相信,便根據他在網上留下的公司電話號碼聯絡對方,令對方更相信電郵的真實性。當那高層人士收到電郵,便毫無防備開 啟那個網址連結。史提夫在那個網站加入了一個惡意框架,攻擊瀏覽器未作修補的漏洞,當那名人士開啟網站連結時,史提夫便控制了他的電腦。

大家可能會覺得那個電郵和普通的垃圾電郵一樣,自己沒有理由會像那高層一般,亂按陌生人發來的連結。但分別是入侵者透過事前在社交網站所收集的資料,了解 目標人物,投其所好,讓電郵的內容看來變得很「真實」,變得順理成章,才令這次攻擊成功。

看完以上故事,大家可能會問,史提夫為甚麼要建立一個網站,而不在電郵或連結上「做手腳」呢?因為有些網絡保安軟件可以直接偵測到電郵或連結的惡意程式。 予以封殺,而對方也可先在搜尋器上找尋該網址的內容,以減低警覺性。所以,入侵者除運用電腦的技術外,「社交工程」也不可缺少。

我們應注意以下事項:

(一)切勿使用工作上的電郵地址作私人用途;

(二)切勿輕信網上認識的人;

(三)電腦軟件要不斷更新,電腦必須使用正版軟件,才可以讓電腦獲得最新的更新;

(四)切勿張貼一些可能供其他網站(例如銀行網站)核實身分的個人資料。雖然這些資料可能看似無關重要,但歹徒可收集這些資料,以假冒你本人登入網站,取 閱你的敏感資料。

作為警隊的成員,我們的警覺性相對較高。但我們的家人或朋友,警覺性和普遍市民一般。我們除了自己提高警覺外,亦應和家人朋友多作有關討論,以提升大家防 範「社交工程攻擊」的意識。下次將會討論另一個案。




<<返回特 寫>> <<返回頁頂>>