什麼是社交工程 (Social Engineering)？

• 定義: 社交工程是一種說服人們透露機密資訊的技術。
• 目標對象: 社交工程攻擊的常見目標對象包括：
  • 客服人員 (Help Desk Personnel)
  • 技術支援主管 (Technical Support Executives)
  • 系統管理員 (System Administrators) 等。
• 攻擊者依賴的事實: 攻擊者利用人們對其所持有的寶貴資訊缺乏保護意識且不小心防護這些資訊的弱點來進行社交工程攻擊。

對組織的攻擊影響 (Impact of Attack on an Organization)

• 經濟損失 (Economic Losses)
• 商譽損害 (Damage of Goodwill)
• 隱私喪失 (Loss of Privacy)
• 恐怖主義風險 (Dangers of Terrorism)
• 訴訟及仲裁 (Lawsuits and Arbitration)
• 組織暫時或永久關閉 (Temporary or Permanent Closure)

容易受到攻擊的行為 (Behaviors Vulnerable to Attacks)

• 權威 (Authority)
• 恫嚇 (Intimidation)
• 共識 (Consensus)
• 稀缺性 (Scarcity)
• 緊迫性 (Urgency)
• 熟悉感 (Familiarity)
• 信任 (Trust)
• 貪婪 (Greed)

什麼使企業容易受到攻擊？ (Factors that Make Companies Vulnerable to Attacks)

1. 缺乏安全培訓 (Insufficient Security Training)
2. 對資訊不受監管的存取 (Unregulated Access to Information)
3. 多個組織單位 (Several Organizational Units)
4. 缺乏安全政策 (Lack of Security Policies)

為什麼社交工程有效？ (Why is Social Engineering Effective?)

1. 安全政策的效力取決於最弱的環節，而人類行為 (Human Behavior) 是最容易受影響的因素。
2. 社交工程攻擊難以偵測 (Difficult to Detect)。
3. 沒有任何方法可以確保完全安全 (Complete Security) 不受社交工程攻擊。
4. 沒有特定的軟體或硬體 (Software or Hardware) 可以防禦社交工程攻擊。

社交工程攻擊的階段 (Phases of a Social Engineering Attack)

1. 調查目標公司 (Research the Target Company)
   • 使用 垃圾搜尋 (Dumpster Diving)、瀏覽網站、訪問員工、參觀公司等方法來蒐集目標公司的相關資訊。
2. 選定目標 (Select a Target)
   • 確認目標公司內部感到挫折或不滿的員工。
3. 建立關係 (Develop a Relationship)
   • 與選定的員工建立良好關係。
4. 利用關係 (Exploit the Relationship)
   • 蒐集敏感帳戶、財務資訊及當前使用的技術等機密資訊。

社交工程的類型 (Types of Social Engineering)

1. 基於人為互動的社交工程 (Human-based Social Engineering)
   • 敏感資訊透過互動蒐集
   • 常見技術：
     • 冒充 (Impersonation)
     • 語音釣魚 (Vishing)
     • 竊聽 (Eavesdropping)
     • 肩膀偷看 (Shoulder Surfing)
     • 垃圾搜尋 (Dumpster Diving)
     • 反向社交工程 (Reverse Social Engineering)
     • 搭便車 (Piggybacking)
     • 尾隨 (Tailgating)
     • 物品轉移竊取 (Diversion Theft)
     • 誘捕陷阱 (Honey Trap)
     • 誘餌與對等交換 (Baiting and Quid Pro Quo)
     • 訊息引導 (Elicitation)
2. 基於電腦的社交工程 (Computer-based Social Engineering)
   • 敏感資訊透過電腦蒐集
   • 常見技術：
     • 網路釣魚 (Phishing)
     • 彈出式視窗攻擊 (Pop-up Window Attacks)
     • 垃圾郵件 (Spam Mail)
     • 即時聊天訊息 (Instant Chat Messenger)
     • 恐嚇軟體 (Scareware)
3. 基於行動應用程式的社交工程 (Mobile-based Social Engineering)
   • 敏感資訊透過行動應用程式蒐集
   • 常見技術：
     • 發佈惡意應用程式 (Publishing Malicious Apps)
     • 使用假安全應用程式 (Using Fake Security Apps)
     • 重新包裝合法應用程式 (Repacking Legitimate Apps)
     • 簡訊釣魚 (SMiShing, SMS Phishing)

人為社會工程（Human-based Social Engineering）

模仿（Impersonation）

• 攻擊者假裝是某個合法或被授權的人，使用通訊媒介（如電話、電子郵件等）來進行模仿，目的是誘騙目標透露敏感資訊。
• 最常見的人為社會工程技巧就是模仿技術。

模仿範例（Impersonation Examples）

1. 假裝為合法的終端使用者
   • 攻擊者假扮成合法使用者並索取敏感資訊。
   • 例句：「嗨！我是財務部的John。我忘記了我的密碼，可以告訴我嗎？」
2. 假裝為重要用戶
   • 攻擊者假裝成目標公司的高層或重要客戶，藉此獲取重要的資訊。
   • 例句：「嗨！我是 CFO 的秘書 Kevin，我目前正在處理一個緊急項目，系統密碼你能告訴我嗎？」
3. 假裝為技術支援人員
   • 攻擊者冒充技術支援人員，詢問用戶的 ID 和密碼以進行問題排查。
   • 例句：「嗨，我是技術支援部門的 Matthew，上週我們檢測到一個系統崩潰，正在檢查丟失的資料。你能告訴我你的 ID 和密碼嗎？」

模仿技術（Vishing）

• 聲音模仿技術（Vishing 或 VoIP 詐騙）是利用語音技術欺騙受害者揭露個人或財務資訊的一種模仿技巧。
• 攻擊者使用電話系統或 VoIP 模擬合法機構來進行詐騙。

Vishing 範例

1. 濫用客服櫃台的過度友善性
   • 攻擊者打電話給公司的客服櫃台，假裝遺失了重要文件或資料，藉此索取敏感資訊。
2. 第三方授權
   • 攻擊者假裝擁有某位被授權人員的名字，並利用這個名字進行訪問請求或電話溝通，藉此獲取敏感資訊。
3. 技術支援
   • 攻擊者冒充技術支援人員，向目標公司的員工詢問他們的 ID 和密碼以進行疑難排解。

其他人為社會工程技術

1. 竊聽（Eavesdropping）
   • 攻擊者透過未經授權的方式聽取或讀取對話、音頻或書面通訊，常使用通訊管道如電話、電子郵件等。
2. 肩窺（Shoulder Surfing）
   • 攻擊者藉由從背後窺視，或透過望遠鏡等視覺增強設備觀察他人的螢幕來獲取資訊（如密碼、PIN 碼等）。
3. 垃圾桶潛水（Dumpster Diving）
   • 攻擊者透過翻閱垃圾桶來尋找被丟棄的敏感資訊（如電話帳單、聯絡資訊、財務資料等）。
4. 反向社會工程（Reverse Social Engineering）
   • 攻擊者假裝成權威人士，並在提供資訊前或後索取目標所需的資料。
5. 搭便車（Piggybacking）
   • 授權人士故意或無意地允許未經授權的第三方通過安全門禁，如「我忘記帶我的 ID 卡了，可以讓我進去嗎？」
6. 尾隨（Tailgating）
   • 攻擊者戴著假身份牌，緊隨授權人士通過需要通行權的門禁進入安全區域。
7. 轉移竊取（Diversion Theft）
   • 攻擊者引導負責處理物品遞送的人員將物品送至非原定地點。

蜜罐（Honey Trap）

• 攻擊者透過假裝成具有吸引力的人物來進行社交互動，並在建立假關係後取得機密資訊。

餌誘（Baiting）

• 攻擊者提供誘人之物（如 USB 隨身碟）來交換機密資訊，或留下裝有惡意檔案的 USB 隨身碟於易於發現的位置。

互惠（Quid Pro Quo）

• 攻擊者隨機撥打公司內部號碼，假裝技術支援人員以取得登入資訊或機密資料。

詢問（Elicitation）

• 攻擊者與受害者進行正常對話並透過交談獲取相關資訊，根據受害者的興趣選擇合適的話題以挖掘資料。

電腦為基礎的社會工程（Computer-based Social Engineering）

1. 彈出視窗（Pop-Up Windows）
   • 當使用者在瀏覽網路時，突然彈出視窗並要求使用者登入或提供資訊。
2. 惡作劇信件（Hoax Letters）
   • 發送警告電子郵件給使用者，提醒他們關於新的病毒、木馬或蠕蟲，並聲稱這些威脅可能會損害其系統。
3. 連鎖信（Chain Letters）
   • 發送包含免費禮物（如金錢或軟體）承諾的電子郵件，但條件是收件者需要將這封信轉寄給指定數量的人。
4. 即時聊天（Instant Chat Messenger）
   • 透過在線聊天收集個人資訊，如生日、母親姓名等。
5. 垃圾郵件（Spam Email）
   • 發送不相關、不需要且未經請求的電子郵件，試圖收集財務資訊、社會安全號碼和網路資訊。
6. 恐嚇軟體（Scareware）
   • 使用惡意軟體誘騙使用者進入受惡意軟體感染的網站，或下載/購買可能包含惡意軟體的軟體。

電腦為基礎的社會工程：網路釣魚（Phishing）

網路釣魚類型（Types of Phishing）

1. 標槍式網路釣魚（Spear Phishing）
   • 針對組織內部特定個人的目標釣魚攻擊。
   • 攻擊者透過社會工程技術，向特定個人或小團體發送具有社會工程技巧的釣魚訊息。
2. 捕鯨攻擊（Whaling）
   • 攻擊目標為高階主管，如 CEO、CFO、政客或名人，這些人擁有完整的機密資訊或高度價值的資料。
   • 攻擊者透過電子郵件或網站偽造來誘騙受害者洩露關鍵企業和個人資訊。
3. 網頁假冒（Pharming）
   • 攻擊者透過 DNS 快取中毒（DNS Cache Poisoning）或主機檔案修改（Host File Modification），將網站流量導向到虛假的網站。
   • 也稱為「無餌釣魚攻擊（phishing without a lure）」，透過安裝惡意程式到個人電腦或伺服器來進行。
4. 即時通訊騷擾（Spimming）
   • 一種利用即時通訊平台來散播垃圾訊息的變體。
   • 攻擊者利用機器人來蒐集即時通訊使用者 ID，並散播垃圾訊息。

其他網路釣魚類型（Other Types of Phishing）

1. 釣魚式網路釣魚（Angler Phishing）
   • 攻擊者創建假的社交媒體帳號，冒充企業的客服帳號，並針對不滿的顧客發布虛假服務連結。
   • 當受害者點擊該連結後，惡意軟體會安裝到其系統中，或是被重新導向到要求提供個人資訊的網站。
2. 貓魚攻擊（Catfishing Attack）
   • 攻擊者透過社交媒體平台發動身分盜用攻擊，並創建假的社交媒體帳號。
   • 攻擊者使用該假帳號與其他用戶進行交流，進行網路詐騙以謀取金錢利益。
3. 深偽攻擊（Deepfake Attack）
   • 攻擊者使用人工智慧和機器學習（AI/ML）技術，創建目標人物的虛假媒體內容。
   • 攻擊者透過偽造的音頻或視訊內容與受害者進行聯繫，並進一步誘騙其洩露機密資訊，甚至要求捐款。