iT邦幫忙

2021 iThome 鐵人賽

DAY 3
1
Security

菜鳥莉莉的Security+學習筆記系列 第 3

[Day2] 資訊安全的攻擊與威脅-社交工程

  • 分享至 

  • xImage
  •  

今天紀錄資訊安全的攻擊與威脅裡的社交工程。

社交工程

社交工程是一種透過溝通、欺騙的手法,取得他人的帳號密碼、身分證字號等機密或敏感資料,利用這些資訊權限進行系統破壞或是騙取金錢利益。常見的方式包含:各式各樣的釣魚手法、偷看偷翻資料、設計騙局等等。

在英文方面滿有趣的,光是釣魚手法就有很多分類:Phishing(網路釣魚)、Smishing(簡訊釣魚)、Vishing(語音釣魚)、Spam(垃圾郵件)、Spam over instant messaging(SPIM)(即時通訊軟體上的垃圾訊息)、Spear phishing(魚叉式釣魚,針對特定目標的釣魚方式)、Whaling(釣鯨,鎖定企業高階主管為釣魚目標)、Invoice scams(帳務付款詐騙)等等。
提到付款詐騙,我今天正好收到一封中華郵政的email,告知我有運費沒有繳納,需要付款後才能重新收件。搜尋過相關資訊後發現這個是很久的詐騙信,點擊email附上的連結後會導到詐騙網站製作的信用卡付費網頁,會盜取你的信用卡資料。這是一種Invoice scams,同時也是Phishing。
假中華郵政騙個資 email勿點連結
https://ithelp.ithome.com.tw/upload/images/20210918/20113393fUm3m4Ar0T.png
圖片來源:我的email

實際行動的分類則包含:Dumpster diving(垃圾尋寶)、Shoulder surfing(肩膀衝浪)、Tailgating(尾隨)、Pretexting(冒名電話)、Identity fraud(身份詐騙)。
我想到的例子有:辦公室電腦跟自己的行動裝置的螢幕上使用防窺片是防止Shoulder surfing,而碎紙機則是防止Dumpster diving、避免別人很容易地取得公司機密資訊。

和技術更相關的有:Credential harvesting(憑證竊取)、Typosquatting(利用相似域名的詐騙)、Pharming(網址嫁接)、Watering hole attack(水坑攻擊)。上個月看到的新聞報導裡,LINE出現假以亂真的官方網站,SEO也做得很前面、網址及內容做的很像,就是要讓沒有注意到的用戶下載了有問題的檔案、將自己的帳號密碼輸入到假官網上,導致機密資訊洩漏的問題。這個應該就是Typosquatting。
【詐騙】山寨LINE官方網站還下Google廣告!切勿點選不明網址、填帳號密碼或下載資料
https://ithelp.ithome.com.tw/upload/images/20210917/201133934ekaDfUXRQ.jpg
圖片來源:MyGoPen

延伸閱讀

(1) 《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標,而是去埋伏在目標必經之路


上一篇
[Day1] 資訊安全是什麼?
下一篇
[Day3] 資訊安全的攻擊與威脅-惡意程式及密碼破解
系列文
菜鳥莉莉的Security+學習筆記6
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言