Day 10 社交工程

第 11 屆 iThome 鐵人賽

DAY 10

Security

不小心飛進資安之旅(學習筆記)系列第 10 篇

11th鐵人賽

羽洛燁

2019-09-26 11:28:50

2790 瀏覽

分享至

社交工程（social engineering ）是說服人們洩露機密信息，是一種陷阱，通常是利用大衆的疏於防範的小詭計，讓受害者掉入陷阱。該技巧通常以交談、欺騙、假冒或口語用字等方式，從合法用戶中套取用戶系統的秘密，例如：用戶名單、用戶密碼及網路結構，屬於非技術的攻擊

易受攻擊的行為(行為弱點)
1. Human nature of trust 信任感：信任人性是任何社會工程攻擊的基礎
2. Ignorance 無知：無知使組織成為一個容易的目標
3. Fear 恐懼：害怕在不遵守社交工程要求的情况下遭受嚴重損失(威脅/恐嚇)
4. Greediness 貪心：社交工程引誘，承諾不勞而獲洩露信息的目標（貪婪）
5. moral obligation 基於道德義務：目標被要求幫助，他們遵守道德義務
攻擊階段
1. Research on Target Company 找尋目標
2. Select Victim 挑受害者
3. Develop Relationship 發展關係
4. Exploit the Relationship 利用關係

Social Engineering Techniques社交工程技巧

攻擊類型
- Human-based 基於人性：通過收集敏感信息相互作用
  1. Eavesdropping 竊聽：未經授權的聽取對話或閱讀信息，攔截音訊、視訊、書面通訊
  2. Shoulder Surfing 監看："肩窺"採用直接觀測技術，如看在別人的肩膀上獲得信息，如密碼，PIN碼，賬戶號碼等，也可以從具有圖像增強裝置的幫助下更長的距離完成，如望遠鏡獲取敏感信息
  3. Dumpster Diving 垃圾潛水：在別人的垃圾中尋找寶藏
- Computer-based 基於科技：在電腦幫助下進行
  1. Pop-up windows 彈跳視窗
  2. Hoax Letters 詐騙信
  3. Chain Letters 連鎖信
  4. Instant Chat Messenger 即時訊息
  5. Spam Email 垃圾信
  6. Phishing 網路釣魚：虛假聲稱來自合法網站的非法郵件試圖獲取用戶的個人或帳戶信息，將使用者導向假網頁
  7. Spear Phishing 魚叉網絡釣魚：鎖定特定個人或某機構的特定員工及其社群媒體帳號，進行網路釣魚攻擊
- Mobile-based 基於手機：在手機幫助下進行
  1. 製作惡意Apps
  2. 重新包裝合法Apps
  3. 假的安全Apps(假的防毒App..等)

Identity Theft

當有人因欺詐目的竊取您的個人身份信息時，就會發生身份盜竊
冒名頂替者獲取姓名，信用卡號，社會保障或駕駛執照號等個人識別信息的犯罪
攻擊者可以使用身份盜用來冒充目標組織的員工實際訪問該設施

Social Engineering Countermeasures

如果沒有員工教授和加強，良好的政策和程序是無效的在接受培訓後，員工應該簽署一份聲明，承認他們理解這些政策

Training 培訓
Operational Guidelines 操作指南
Access Privileges 訪問權限
Classification of information 信息分類
Proper incidence response time 適當的發病率響應時間
Background Check and Proper Termination Process 背景檢查和正確的中止過程

社交工程利應用人性來獲取需要的資訊，很多人在不知情的情況下，洩漏了機密，還不自知！覺得有可疑的或不確定安全性，建議先查詢一下，在進行下一個步驟，針對機密事件，需要小心謹慎，多檢查一下，就會避免不必要的洩密。社群網站往往是社交工程資料蒐集的來源處，太多人會自己公布分享狀況...等，也許不是重要的事，但對於有心人總是可以挖掘出想要的資訊!!!這個非技術層面的攻擊，是人人都可以預防，但也是最難預防。底下幾個案例分享，提醒大家要小心這些看似優惠，或是恐嚇的內容，都要小心別被騙了!!!!