今天紀錄資訊安全的攻擊與威脅裡的社交工程。

社交工程

社交工程是一種透過溝通、欺騙的手法，取得他人的帳號密碼、身分證字號等機密或敏感資料，利用這些資訊權限進行系統破壞或是騙取金錢利益。常見的方式包含：各式各樣的釣魚手法、偷看偷翻資料、設計騙局等等。

在英文方面滿有趣的，光是釣魚手法就有很多分類：Phishing(網路釣魚)、Smishing(簡訊釣魚)、Vishing(語音釣魚)、Spam(垃圾郵件)、Spam over instant messaging(SPIM)(即時通訊軟體上的垃圾訊息)、Spear phishing(魚叉式釣魚，針對特定目標的釣魚方式)、Whaling(釣鯨，鎖定企業高階主管為釣魚目標)、Invoice scams(帳務付款詐騙)等等。
提到付款詐騙，我今天正好收到一封中華郵政的email，告知我有運費沒有繳納，需要付款後才能重新收件。搜尋過相關資訊後發現這個是很久的詐騙信，點擊email附上的連結後會導到詐騙網站製作的信用卡付費網頁，會盜取你的信用卡資料。這是一種Invoice scams，同時也是Phishing。
假中華郵政騙個資 email勿點連結

圖片來源：我的email

實際行動的分類則包含：Dumpster diving(垃圾尋寶)、Shoulder surfing(肩膀衝浪)、Tailgating(尾隨)、Pretexting(冒名電話)、Identity fraud(身份詐騙)。
我想到的例子有：辦公室電腦跟自己的行動裝置的螢幕上使用防窺片是防止Shoulder surfing，而碎紙機則是防止Dumpster diving、避免別人很容易地取得公司機密資訊。

和技術更相關的有：Credential harvesting(憑證竊取)、Typosquatting(利用相似域名的詐騙)、Pharming(網址嫁接)、Watering hole attack(水坑攻擊)。上個月看到的新聞報導裡，LINE出現假以亂真的官方網站，SEO也做得很前面、網址及內容做的很像，就是要讓沒有注意到的用戶下載了有問題的檔案、將自己的帳號密碼輸入到假官網上，導致機密資訊洩漏的問題。這個應該就是Typosquatting。
【詐騙】山寨LINE官方網站還下Google廣告！切勿點選不明網址、填帳號密碼或下載資料

圖片來源：MyGoPen

延伸閱讀

(1) 《APT攻擊/威脅 》 水坑攻擊: 不是去攻擊目標，而是去埋伏在目標必經之路