【15】資安的原罪 ch.3-2.b 社交工程

本章中見證現實中最頻繁發生，且破壞力可能最高的攻擊。^9 ^7 ^8 ^2

什麼是社交工程?

社交工程（Social Engineering）是指透過操縱或欺騙人們，使其洩露機密資訊或執行可能危害資安的行為。這種攻擊方式利用的是人類心理，而不是技術漏洞。

「社交工程攻擊者不需要管理員權限，他們只需要一個好故事和一點自信。」

社交工程有哪些常見類型？

📨 1. 網路釣魚（Phishing）

攻擊者會透過電子郵件、即時通訊、社交平台或偽造網站，假冒可信來源（如銀行、同事、廠商、系統通知等），誘使用者點擊惡意連結、下載附件，或輸入帳號與密碼。^8

常見手法包括：

• 使用相似的網域名稱（例如："mypaypal.com"）
• 利用相似字元替換（例如："paypa1.com" 以數字1取代字母l）
• 搭配縮網址服務來隱藏實際連結 ^6

相關變種

• 定向釣魚（Spear phishing）：以特定個人或組織為目標，內容高度客製（引用內部資料、職務、近期專案），成功率高。
• 高階釣魚 / 鯨魚攻擊（Whaling）：針對高階主管（CEO/CFO）或重大決策者，常偽造法律、財務或併購相關文件。
• 克隆釣魚（Clone phishing）：攻擊者先取得合法郵件範本，替換附件或連結為惡意版本，再用看似同樣的發信地址寄回給原收件人。

☎️ 2. 語音釣魚（Vishing）

攻擊者以電話或語音訊息假冒內部單位（IT、HR、財務）或外部機構（銀行、政府單位），用口語說服受害者交出帳號、密碼、驗證碼或進行轉帳。

AI & 深度偽造（新趨勢）

現在的趨勢是使用人工智慧（深度學習）技術生成、替換或操控影像與聲音，把影像、聲音、語境（文本腳本）結合，產生極難分辨的完整合成內容。^4 ^3

技術原理

• 影像合成/換臉：常用自編碼器（autoencoders）、生成對抗網路（GANs）或擴散模型來學習目標臉與源臉的特徵，並把目標臉映射到源影片的動作/表情上。
• 語音合成/配音：用語音合成（TTS）、聲音克隆模型把某人聲音模擬出來，再配合影片口型（lip‑sync）。
• 時序處理：利用時間序列模型確保面部表情和口型的連貫性，或用即時合成做到 live deepfake。

🕵️ 3. 假借身份（Pretexting）

• 攻擊者編造合理故事或角色，以套取資訊（例如假扮人資或廠商）^10

🏢 4. 誘餌攻擊（Baiting）

• 實體誘餌：在公司放置標有「內部資料」的 USB，或把惡意裝置留在停車場/茶水間；數位誘餌：假工作、免費軟體下載。

👨‍💼 5. 冒充 / 尾隨（Impersonation / Tailgating）

• 假扮員工、快遞或維修人員，實體闖入安全區域

偽冒正牌

攻擊者會試圖冒充可信來源^1，目前主流觀念仍停留在尋找與正版的微小不同之處，像是注意是否拼錯、是否使用相似字元等。然而即使是完全一樣的也要小心，因為駭客可能偽造寄件人地址、來電號碼或建立仿冒網站。

📨 假寄信人

收件人看到的寄件地址（From）可以是假的。如果回信，可能會寄到 From 或 Reply-to 指定的地址。即使用電腦的 IP 位址判斷，在惡意情況下，寄信方可能來自被感染的裝置，裝置本人甚至不知道郵件是從自己電腦發出的。

相關手法概覽

• 顯示名稱偽造（Display name spoofing）：在郵件顯示名稱寫上可信單位或人名（例如「HR‑Admin」），但實際電子郵件地址是惡意域名或外部帳號。使用者常只看顯示名稱就回信。

• Reply‑To 操作（Reply‑To manipulation）：寄件者在郵件標頭內設定 Reply‑To 為攻擊者地址。使用者按「回覆」時，郵件會發送到攻擊者而非顯示的寄件人。

• Return‑Path / Mail From 偽造：發送方（SMTP envelope）被偽造，導致回覆/退信流向惡意地址。

• 回信鏈插入（Reply chain injection）：在原始郵件的引用區或尾端插入惡意 From: 或 Reply-To: 行，欺騙收件者直接回覆那個插入的地址（尤其在轉寄/回覆大量郵件時容易發生）。

• 帳號被入侵或轉寄規則被設定：真正的內部帳號被攻破或被設置自動轉寄，把回覆導到外部。

• 郵件中嵌入回覆按鈕或指示：例如「請按此回覆以確認」，但那按鈕其實觸發回覆到攻擊者的郵件地址。

範例 A — Reply‑To 操作：

From: "IT Support" <it-support@yourcompany.com>
Reply‑To: it.support.verify@evil.com
Subject: 請確認你的帳號

使用者看到「From: IT Support」，按回覆→實際收件人是 it.support.verify@evil.com。

範例 B — 回信鏈插入（轉寄／回覆大量收件人）

--- 原始訊息 ---
From: alice@partner.com
To: team@yourcompany.com
...
--- 以下為插入內容 ---
From: support@evil.com
Subject: Re: 請確認...

📞 來電顯示偽造

來電顯示偽造（Caller ID spoofing）指攻擊者改寫或偽造來電顯示（來電號碼/來電者名稱），讓接聽者看到的是可信的號碼（例如銀行、公司內線、主管手機），其實真正的發話方是惡意者。這常被用於詐騙電話（vishing），提高受害者信任以取得敏感資訊或授權匯款。

常見做法

• 使用網路電話服務（VoIP）或公開 API，將顯示號碼設定成任意值。
• 利用電話中繼或國際閘道改寫來電顯示。

🌐 假網站

攻擊者可能會把合法網站完全複製（Clone）成假站，外觀與操作幾乎看不出差別。透過像是 DNS 中毒、修改電腦上的 hosts 檔案或竊取 DNS 設定等手法，使用者即便輸入正確網址，也會被導到攻擊者控制的惡意網站（Pharming）。若再配合中間人攻擊（MITM），可以截取或竄改使用者與網站間的資料，達到完美偽裝與資料竊取的效果。

原罪

1. 低技術門檻

社交工程不需專業駭客技能，相關工具與範本亦容易取得，導致此類攻擊具有成本低、可自動化、可規模化的特性。即使單次成功率低，大量嘗試下成功的數量也很可觀。

2. 效果強大

技術門檻低，但效果卻不低，甚至可能是最致命（最具破壞力）的方法。即使在系統在技術上被妥善防護情況下，此類攻擊仍然能奏效。

3. 無法辨識的

光用仔細檢查拼字錯誤、相似字型、縮網址等，無法分辨真假。因為這些訊息都可能被偽造，甚至來自已遭入侵的合法服務。從^5 ^12可以看出，即便是專業受過訓練的人也會誤判；對一般人而言，要求他們在處理自身事務之餘還要掌握這些防護知識，實在過於苛刻。

4. 高應對成本

就算全面教育使用者、要求每個人都謹慎點擊、檢查連結與寄件者，實際上會產生巨大的時間與資源成本。
試想：每個人如果多花 30 秒檢查一封信的真偽，一天查看 20 封信，就是 10 分鐘。放大到整個企業、整個社會，就是龐大的資源與生產力損失。