社交攻擊至今為止在於系統入侵、資訊洩漏等的占比至今比例仍然非常的高,它也被廣泛認為說是資訊安全當中最脆弱的部分之一。
今天我們要來探討的是社交工程的本質,常見的攻擊手法與如何預防。畢竟即使資訊安全防護再怎麼好,只要有人為操作的環節都可能被趁虛而入,所以提升大眾對於社交工程的警惕性是非常必要的事情!
社交工程(Social Engineering)是一種攻擊手法,利用人心的弱點來試圖欺騙受害者,讓它們洩漏重要資訊、敏感數據等不應被洩漏的東西。以前,社交工程僅出現在社會學上面,直到電腦專家們開始注意到其影響人心的效果。
駭客利用各種方式取得目標資訊,並透過寄
送電子郵件 的方式對目標進行攻擊。
引用自中央研究院資訊服務處
社交工程攻擊層出不窮,往往會以各種方式能試圖使受害者受騙,這邊列舉一些常見的方式:
釣魚(Phishing)
利用電子郵件或簡訊來使受害者不小心誤擊惡意連結或帶有惡意程式的附件
下餌(Baiting)
留下一些能夠勾引起人好奇心的東西,使受害者落入陷阱。像是在公共場所留下USB,有些人可能會因為好奇心而帶回家插在自己的裝置上,這會讓你無意間就被安裝了惡意軟體
恐嚇軟體(Scareware)
它的做法就是跳出預警告訴你裝置可能已經被入侵、有安全疑慮等訊息引起受害者恐慌,然後建議你安裝它所推薦的修復程式、防毒軟體等。
預防往往是解決問題的最優先方法,提高這些意識便能最大化減低社交工程的損害:
提高安全意識
使身邊的人認識社交攻擊的存在以及它的攻擊方式,提高大眾安全意識
警惕釣魚攻擊
看到可疑的郵件不要隨意打開,更別說是來自你陌生的人寄來的郵件
使用強度高的密碼
不使用容易被猜到的密碼組合(如名字生日等),且定期更新高強度的密碼
MFA
MFA會提供使用者額外的驗證訊息,通常會是隨機的代碼
參考資料
社交工程
什麼是社交工程(Social Engineering)?該如何保護自己?