iT邦幫忙

第 11 屆 iThome 鐵人賽

DAY 23
3
Security

三十日之熄燈幽談-資安百物語系列 第 23

[Day 23]資安百物語-第十七談:國際詐騙信 文案欣賞 (社工概念篇)

  • 分享至 

  • xImage
  •  

日本都市傳說-紅紙、藍紙

https://ithelp.ithome.com.tw/upload/images/20191009/20120299V3nfyZkLqb.jpg

紅紙、藍紙(赤い紙、青い紙)

有一天,一位男同學在學校廁所上廁所時,沒有衛生紙,
這時忽然出現一個聲音

想要紅色的紙嗎?還是藍色的紙?

男同學害怕的回答 「要..要紅色的」
男同學立即大量出血而死。

之後隔沒幾天,聽到這個傳聞的同學
也想挑戰看看,這個傳聞是不是真的
當他進到廁所時,也聽到

想要紅色的紙嗎?還是藍色的紙?

這位男同學回答 「藍色的」
這時男同學血液全部被抽乾,剩下一具青藍色的屍體。
https://ithelp.ithome.com.tw/upload/images/20191009/20120299sgN1mC2Wqw.jpg

另外也有出現 黃紙這個選項,但選了會被帶到黃泉。

而衍伸版本也有不需要和不回答
選擇不需要,會被一隻紅手整臉塗滿糞便
選擇不回答,會被一隻藍手抓一搓頭髮走。

我以前聽到的只有紅紙、藍紙的版本,
當時就心想了,為甚麼不說不需要,或根本不用理他
這種出於恐懼,或利用人恐懼而做出選擇,而達到他人目的的方式
就是社交工程

社交工程(Social Engineering)

https://ithelp.ithome.com.tw/upload/images/20191009/20120299Nv4ZVkoPW3.png

社交工程是指透過與人交流,並藉由話術或
一些心理學技巧,使對方透露出機敏資訊的手法。

大多會利用人性的弱點
信任
憐憫
恐懼
擔憂 等

補充:
世界上第一個因為入侵電腦
而被FBI通緝的黑客 -Kevin Mitnick
也是社交工程的好手。

常見社交工程攻擊

  • 網路釣魚、釣魚網頁
  • 垃圾郵件
  • 蠕蟲、木馬(社交工程惡意程式)

社交工程技巧

  • Pretexting
    創造合情合理的情境使對象透露出不該透露的資訊

  • Diversion Theft
    調虎離山,一樣是創造情境使人員離開原本崗位

  • Phone Phishing
    電話釣魚,透過話術,偽造成某機構單位或
    其他身分,來套出相關資料,或讓目標做出洩漏資訊的行為。

  • Baiting
    例如掉在地上的USB Drive,貼上標籤寫著 「機密」或是「桃色天堂」
    相信不少充滿好奇心的人會渴望知道裡面的內容,當插入電腦的那一刻可能就中獎了。
    主要是透過人類的好奇心,將惡意軟體植入移動式裝置,誘使他人上當。

  • Quid pro quo
    透過身分偽造,並且提供價值交換,來換取機密資訊,
    例如大學中很常見的,幫忙做問卷,並且填一下個人資料
    有機會抽到大獎,四週的同學沒有一個不填。
    若被有心人士利用,成果一定十分豐碩,

  • Sympathy
    偽裝成弱勢,創造出情境,利用目標的同情心,讓對象因心生憐憫
    而做出洩漏資料或錢財的資訊。

  • Tailgating/piggybacking
    尾隨,是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。
    (都是這樣進同學宿舍的


自身案例 - 國際詐騙信

發生在今年7月,
對象是透過 Linkedin 來接觸本人。
而原本以為是個無害的老奶奶,
說有件事想與我分享,但我點開他的個人資料,很空
而且發現他所有的聯絡人
都是同個英文名字,看到這我就覺得有鬼了,一定不是甚麼無害老奶奶。

他希望我提供Email,原本很抗拒的我,由於好奇他的手法會是甚麼,
於是利用TempMail,給了他一個暫時的郵件信箱,
他發送了下面這段給我
並且寄了這張在病床上的老人照片給我

https://ithelp.ithome.com.tw/upload/images/20191009/20120299VoSGCGOw0p.png

https://ithelp.ithome.com.tw/upload/images/20191009/20120299SlFXNeNTmy.png

雖然有奇怪的檔案或連結我一定不會點
但看到這縮圖,我更不想點了 :)

而且很明顯的,他使用了人的同理心、貪慾還有Google 翻譯
於是我回他說,我需要做甚麼?
而他不久後又寄了封信件給我

https://ithelp.ithome.com.tw/upload/images/20191009/20120299tlphDw8FFz.png

(獎學金問候我?

https://ithelp.ithome.com.tw/upload/images/20191009/201202997aaHr6B1hi.png

( 你的近親我繼續函?

大概確認他要甚麼後,我就沒理他了,開始覺得無趣了
但種手法還真的會有人受騙
https://www.google.com/amp/s/kknews.cc/society/2a6rx8z.amp


APT 攻擊

https://ithelp.ithome.com.tw/upload/images/20191009/2012029983DbSiP6bp.jpg
APT(advanced persistent threat)
指匿而持久的電腦入侵過程,會長期維持高隱匿性,
並且持續而緩慢的滲透到特定單位內。

由趨勢科技定義的APT要點有以下:

  • 基於經濟或競爭優勢
  • 時間長期、持續、多個階段的攻擊
  • 目標針對特定公司、組織或平台
  • 多元攻擊方式包括假冒信件、現成與客製化惡意軟體、遠端控制工具、將機密敏感資料外傳

七階段

  1. 偵查
  2. 誘騙
  3. 重新定向
  4. 漏洞利用
  5. 惡意檔案植入
  6. 回傳
  7. 竊資

想要紅色的紙嗎?還是藍色的紙?

[參考來源]:
https://www.ithome.com.tw/article/86412
https://zh.wikipedia.org/wiki/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6#%E4%B8%8B%E9%A5%B5
https://en.wikipedia.org/wiki/Social_engineering_(security)#Baiting

[圖檔來源]:網路


上一篇
[Day 22]資安百物語-第十六談:你家的瑪莉也會Google Hacking
下一篇
[Day 24]資安百物語-第十七談:國際詐騙信 文案欣賞(工具篇)
系列文
三十日之熄燈幽談-資安百物語30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言