iT邦幫忙

2024 iThome 鐵人賽

DAY 19
0
自我挑戰組

30天資安快速學習系列 第 19

30天資安快速學習DAY-19社交工程攻擊【案例】

  • 分享至 

  • xImage
  •  

以下是幾個著名的社交工程攻擊案例,展示了駭客如何利用人性的弱點來進行攻擊:

  1. Target 資料外洩事件 (2013 年)

背景:美國大型零售商 Target 遭遇了一次嚴重的數據洩漏事件。駭客透過對 Target 的第三方供應商(Fazio Mechanical Services)的社交工程攻擊,成功獲取了網絡存取權限。

攻擊手法:黑客透過釣魚郵件,誘導該供應商洩露其登入 Target 系統的憑證。憑藉這些憑證,黑客得以進入 Target 的內部系統,並安裝惡意軟體來竊取客戶的支付卡資料。

影響:此事件導致 4000 萬張支付卡的數據被盜,約 7000 萬名顧客的個人資料被洩漏,對 Target 造成了巨大的財務和聲譽損失。

  1. Twitter 名人帳號攻擊事件 (2020 年)

背景:2020 年 7 月,黑客成功入侵 Twitter 並控制了多位名人的帳號,如 Elon Musk、Bill Gates 和 Barack Obama。

攻擊手法:黑客透過社交工程攻擊 Twitter 內部員工,欺騙他們提供登入憑證或系統存取權限。一旦取得內部權限,黑客便發布了釣魚訊息,誘導使用者將比特幣轉入特定的地址,假裝進行虛假的比特幣回贈活動。

影響:雖然黑客只成功騙取了約 12 萬美元的比特幣,但此次攻擊暴露了 Twitter 系統的內部安全漏洞,也引發了對大型社交媒體平台安全性的新一波關注。

  1. Google 和 Facebook 騙局 (2013-2015 年)

背景:2013 年至 2015 年間,Google 和 Facebook 都成為一個大規模網絡騙局的受害者,該騙局使這兩家公司合計損失超過 1 億美元。

攻擊手法:攻擊者冒充一家供應商,偽造了相關的發票,並通過電子郵件要求付款。這是一種典型的「商業電子郵件詐騙」(BEC) 攻擊,黑客利用社交工程來模仿真實供應商的行為,讓公司員工誤以為這是合法交易,從而支付巨額資金。

影響:最終黑客成功詐騙了數千萬美元,儘管這兩家公司後來追回了部分款項,但此事件仍凸顯了大型企業在應對社交工程攻擊時的脆弱性。

這些案例說明了社交工程攻擊的高效性和危害,尤其是當攻擊者能夠成功誘騙人員時,技術層面的防護可能顯得不足。


上一篇
30天資安快速學習DAY-18社交工程攻擊
下一篇
30天資安快速學習DAY-20Web應用安全
系列文
30天資安快速學習30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言