資料來源:IMDB |
駭客軍團 |
駭客軍團為2015年6月在美國USA電視台開播的電視劇,此片敘述一個具有反社會人格的灰帽駭客如何透過高超的電腦技術企圖改變世界。主角Elliot Alderson是一名在資安公司工作的白帽資安工程師,但到了晚上,他化身為黑帽駭客,利用高超且熟悉的電腦知識技能,透過無所不在的網路駭入周遭人們的生活,待取得私人資訊後進一步瞭解他們,並暗中解決一些他所看不慣的人、事、物。
由於此系列影集所使用的資安技術與探討的議題皆非常仿真,同時本系列也尚未完結,因此我們將跳著從各集片段中取出特定的資安議題進行分享與說明,本篇文章我們將介紹實體的社交工程技術(Social Engineering)[1]。
什麼是社交工程呢?講白話一點就是詐騙或是誤導你。社交工程是一種騙人的行為藝術,從早期的金光黨到後來的電話詐騙及偽冒他人進行文書犯罪等,都可以歸屬於實體的社交工程攻擊,尤其在社會學中可以找到許多的相關資訊。由下列維基百科的說明,我們可以取得比較正式的定義:
社交工程指的是通過與他人的合法地交流,來使其心理受到影響,做出某些動作或者是透露一些機密資訊的方式。這通常被認為是一種欺詐他人以收集資訊、行騙和入侵電腦系統的行為。
在第一季的許多影集中,都有駭客實體接觸目標,並透過提供免費資訊、偽冒他人及利用貪小便宜等心態,進行社交工程的橋段,其中包含:
(1) 路上賣光碟 (第一季第二集)
我們時常在路上會遇到業務強迫推銷產品,當遇到死纏爛打型的業務時,實在令人感到厭煩,為了不再被打擾,只好摸摸鼻子掏出腰包購買產品。影集中,駭客正是看中了此伎倆,在資安公司附近兜售自創音樂CD近半個月,死纏爛打的向資安公司員工推銷,最後不堪其擾的員工只好購買CD。當員工將CD插入筆電後卻發現不能撥放,但也不引以為意,事實上,此動作已造成筆電被入侵,使得駭客可以透過視訊鏡頭監視受害者,並取得筆電中的機敏資料,進一步威脅受害者將惡意CD放入公司電腦中,達到內部橫向擴散的目的。
(2) 假裝有錢人開方便之門(第一季第五集)
不論防禦措施多麼完善,人類的情感始終是整個安全機制中最弱的一個環節,也是最難防禦的部分。影集中資料安全中心雖可透過預約的方式參觀,然在時間緊迫的情況下,駭客須儘快找到方式入內參觀,取得更多資訊以便進行後續行動。於是駭客先從其官網中找尋看起來好下手的銷售員,直接指名希望該銷售員介紹服務及參觀資料安全中心,儘管銷售員告知,依照公司流程,所有訪客皆須預約方可參觀,然駭客佯裝自己是有錢的金主,對資料安全中心的服務極感興趣,並以事先製作的假網頁企圖說服銷售員相信自己的經濟背景雄厚,促使銷售員產生「大魚上鉤,要好好把握」的心態,於是銷售員忽視公司規定,帶其參觀資料安全中心,使駭客達成目的。
(3) 路上的USB (第一季第六集)
「好奇心殺死一隻貓」,一句耳孰能詳的英國諺語,居然也能成為駭客犯罪的手法之一? 影集中,駭客為了入侵警察局的電腦,因此在警察局的停車場內放了很多隨身碟,就是看準了人類的好奇心,果不其然,當有警察撿到隨身碟後便基於好奇心而查看隨身碟內資料,執行後會跳出取得一百美元音樂禮物卡的訊息,繼續點擊後則開始一連串的問卷調查,此一動作,使得駭客所寫的惡意程式得以入侵警局電腦
實體社交工程的防範之道,其實並沒有一定的準則,原因在於每個人遇到的情境皆大相徑庭,但基本上只要保持著覺得可疑就是有問題,同時不要走途徑,勿貪小便宜,凡事皆遵循規範,就可以降低受害的風險。除此之外,透過再三確認並與他人確認各種消息來源或是可疑之處,面臨威脅恐嚇時則不要心生恐懼,請第三方支援與協助,皆可以破解實體的社交工程攻擊。
[1] 社交工程(social engineering), https://en.wikipedia.org/wiki/Social_engineering_(security)
[2] 什麼是社交工程(social engineering )陷阱/詐騙?(趨勢科技), https://blog.trendmicro.com.tw/?p=101