iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 42
1
Security

資安x系統x絕對領域系列 第 40

[Day31]駭客思維x教育不能等x社交工程

  • 分享至 

  • xImage
  •  

第一次聽到社交這兩個字是在相聲瓦社的「惡鄰依依」裡面…
據說指的是「色情跟性交易」…

不過,隨著接觸的事件越來越多,後續才知道「社交工程」是一項資安的技術。

社交工程

我覺得社交工程是一種詐騙手法,不論以交談、書信、仿造、假冒或口語用字等方式,從合法用戶中套取用戶系統的秘密,例如:用戶名單、用戶密碼及網絡結構

「社交工程技巧」一詞指的通常是用以收集資訊或電腦系統存取權限的詭計。
社交工程圈套最常見於 Web 資安威脅攻擊中,利用目前備受矚目的重大事件與新聞作為誘餌,無論是政治、運動、娛樂性質,同時也不分全球性或地區性。此外,社交工程圈套也可能利用日常活動作為誘餌,例如線上理財、投資、帳單管理以及購物等等。

其實前公司也是遇到社交工程的信件,才讓我開始轉向走資安的路線的…
畢竟各種手法真的層出不窮,遇多了也是要來研究一下的嘛…

這件事情就是從一封冒充董事長的E-Mail開始,是寄給財務部的同仁,大概是長這樣子:

「財務長名字:
 我的電子信箱滿了,煩請將採購部的同仁通訊錄寄給我,謝謝。」
 然後署名電子信箱的位址及董事長名字

再來也有很「聳動的電子郵件主旨」、「不正常的發信時間」、「不明來源的位址」或「緊急要求或要求提供個人機敏資料」之類的…

大概會有什麼樣的目的呢?

取得機敏資料

透過社交工程去騙取或竊取商業機密之類的…
透過社交工程去偷取機密,像說對方的標案的底價,像說Yahoo!在歷年併購時,都傳出就偷取到了底價用極低的金額併購其他公司。新聞已不可考

偽裝成其他角色

像說偽裝成廠商或客戶提出銀行帳戶更正…
這個我們公司有收過,客戶提出說我們修改銀行帳號了,下個月匯款請匯款至新帳戶。

惡意程式(包含勒贖軟體)散佈

包含夾帶後門程式或轉帳元件、側錄元件、木馬程式,就能做很多事了呢 =v=+
不過最熱門的案例在這兒…
關鑑字請下:靠北工程師 + ERP

http://ithelp.ithome.com.tw/upload/images/20170116/20103647HrU6I74hBs.jpg

公司教育訓練宣導

公司也會透過電話或郵件做資安政策宣導


上一篇
[DayX]番外篇x資安社群xHITCON GIRLS
下一篇
[Day32]駭客思維x教育不能等xWiFi網路安全
系列文
資安x系統x絕對領域47
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言