出於書本 Chapter 5. Social Engineering

釣出資訊 (Phishing for information)

起手式

先搜集受害者的公開資訊，大部分的攻擊者為了不要被懷疑，搜集資訊的步調會很慢。承上實現社交攻擊的第一步，攻擊者滲透組織的方式會是搜集員工列表、關鍵幾組內部的電話號碼，或是公司行事曆。

透過網路

舉例像是透過 Yahoo Finance ，能查到很完整的公司公開資訊。此外，透過搜尋引擎上以及官網的資訊，攻擊者已經可以搜集到足以進行攻擊的資料。

垃圾桶尋寶 ( dumpster diving )

簡言之沒有用碎紙機輾過的機密，或是放在電腦垃圾桶裡尚未被永久刪除的檔案，對攻擊者來說都是 my precious...

有哪些文件會被當成寶呢？

• 內部電話表
• 組織圖
• 含有安全性策略的員工手冊
• 網路圖
• 會議記錄
• 報表與報告
• 含有機要的 email 紙本

此外，光碟片、舊的電腦，以及實體備份也都可能成為攻擊者挖寶的對象。

電話系統

利用電話做攻擊媒介的攻擊者，隱藏他們的電話號碼可以保護他們免於被識別出。有幾種方式可以使用

• 透過 *67 隱藏發話號碼
• 透過企業電話系統
• 透過 VoIP (Voice over internet protocol)

建立信任

除非發生什麼不可力抗因素，大部分的人都會選擇相信其他人。但是要建立深度的信任一定會需要時間，要怎麼快速建立信任呢？

• Likability
  • 社交工程師通常藉由建立共通的興趣建立關係。在第一步的研究時期，研究受害者的喜好，並藉此去接近受害者。

謎：瘋運動賽事感覺很容易中招

• Believability
  • 建立在社交工程師對於要如何變成與他們 (受害者) 相似的了解程度上，或是假冒成一個身份與受害者相似但是受害者未曾謀面 (如，新進員工、供應商)。大部分的社交工程師都會對受害者相當和善，讓受害者想要為這份和善作為回報。

謎：長輩說的，匪諜就在你身邊...

利用關係 (Exploiting the relationship)

透過行為與文字進行欺詐 (deceit)

• 過於友善或熱情
• 故意提到組織裡的某個有名人
• 嘗試取得組織內授權
• 威脅
• 問問題的時候表現得特別緊張
• 問一些很奇怪的問題，或是故意留錯誤的聯絡資訊
• ( ...還有很多項 )

透過技術進行欺詐

常見的就是透過 email 讓受害者誤以為是 Microsoft 或是其他知名廠商寄來的通知，如昨天的筆記一開始提的，背後的真相是希望受害者去安裝信件裡的夾欓，夾欓可能是木馬程式 (trojan horse keylogger) 或是後門程式 (backdoor)，一但受害者安裝這些所謂的 Patch，攻擊者便可藉由透過網路藉由受害者的電腦攻擊其他系統。

另外一個透過 email 的社交工程案例是「奈及利亞 419 詐騙案」(Nigerian 419 email fraud)，手法是假冒成當地的律師或是銀行員，向受害者宣稱有一筆鉅額遺產可供提領，騙取受害者個銀行帳戶等資料後，提光該帳戶底下的錢。時至今日，還是很容易有人上當。

其他的方式是透過伺服器、anonymizers、匿名郵件轉發服務以及含有 open relay 設定的 SMTP 伺服器來達到隱藏攻擊者的來源。

社交工程因應對策

管理策略

• 替員工或約聘人員建立使用者 ID
• 設定最小且可用的電腦使用權限
• 移除離職員工的使用者 ID 以及存取權限
• 設定重置密碼
• 陪同訪客進出建築物

建立社交工程的知識 ( awareness and training )

作者教大家如何避免遭受社交工程攻擊

• 永遠不揭露任何資訊，除非你能驗證他們要求的資訊都是必須的，而且要了解資訊是會提供給誰
• 永遠不點 email 內任何會嘗試更新的網頁的連結
• 小心在社群網站上公開個人資訊
• 陪同訪客進出建築物
• 永遠不打開來自於陌生人的 email 裡面的附件
• 永遠不給出密碼

呼～終於結束社交工程囉！明天跳到書本的第七章看看與密碼相關的攻擊與應對～