快轉到主要內容
AlpacaNews 羊駝新聞

Social-Engineering (社交工程)|你駭計算機,我駭你心。

·1981 字· loading · loading ·
電腦科學 社交工程 Psychology (心理學) Phishing (釣魚攻擊)
目錄
什麼是社交工程?是心理學的一種嗎?兩者之間有什麼關聯?社交工程是指詐騙嗎?

前言
#

注意!
本文技巧禁止用於非法用途,一切行為請自行負責,與本站無關。本文僅作為學術研討用途。

刑法第三百五十八條:「 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 」 刑法第三百六十三條:「 第三百五十八條至第三百六十條之罪,須告訴乃論。

心理誘導的概念
#

很多時候,有心人士希望達成某個特定目的時,會透過言語文字肢體誘導他人去協助達成該目的。
舉個常見的例子,詐騙集團在騙取你的財物時,他的目標是你「 ATM裡的錢 」,此為「 特定目的 」。可是他沒有權限可以調動裡面的金錢,於是他在電話裡透過欺騙式的言語誘導你去「 自己去操作ATM 」,此為「 言語誘導 」。當你真的聽信他所說的謊言時,你自己操作了ATM,並且將錢轉到對方指定的帳戶,此時對方也達成目的了,此為「 協助達成 」,你協助詐騙集團「 操作你的ATM 」。

釣魚攻擊 (Phishing Attack)
#

網路釣魚 (Phishing Attack)」是個常見的社交工程例子,並且這個名字取的很好,你可以想像「 釣魚 」的情境,你需要有「 環境釣鉤魚餌 」。以剛剛詐騙集團的例子來說:
電話中 」就是你們之間所處的「 環境 」;「 你(受害者) 」則是「 」;「 釣鉤 」是「 ATM匯款的動作 」;最後「 魚餌 」就是「 謊言 」。

再舉個常見的例子 - 「 電子信箱散播病毒 」。

在某些例子當中,一些駭客並非是為了自身的利益目的,有些只是想搞破壞,我們稱之為「 Cracker (破壞者) 」,廣義的解釋差不多是「 惡意對伺服器進行入侵、竊取資料、盜用帳戶及破壞 者 」。
這類人很多會透過利用 E-Mail (電子信箱) 來散播惡意連結及含有 病毒 (Virus) 的檔案,因為他們無法直接對你電腦植入病毒,所以需要透過你來幫忙點擊連結或下載檔案。另外像是「 WIFI 詐欺 」、「 釣魚登入網站 」也是常見的「 網路釣魚 (Phishing Attack) 」,整理一下:

  • 利用「 釣竿掛魚餌 」誘導魚自己「 吃魚餌 」達成「 上鉤 」的目的。
  • 利用「 通話與謊言 」誘導你自己「 操作ATM 」達成「 匯錢 」的目的。
  • 利用「 電子信箱來寄惡意信件 」誘導你自己「 點擊惡意連結 」達成「 電腦中毒 」的目的。
  • 利用「 架設誤導性名稱的AP 」誘導你自己「 連上該 WIFI 」達成「 中間人攔截封包 」的目的。
  • 利用「 架設假的登入界面 」誘導你「 輸入帳號密碼登入 」達成「 竊取帳戶 」的目的。

自己幫助駭客入侵自己
#

在上述的各個例子中,你會發現一個規律…
就是這些入侵事件的關鍵步驟都是「 自己操作 」的!

讓錢真正被調動的步驟是「 操作ATM轉帳
誰操作ATM進行轉帳的?

電腦真正中毒的步驟是「 開啟惡意檔案
誰點擊連結下載惡意檔案並開啟的?

被中間人攻擊的前一刻是「 連上WIFI
誰做連接WIFI的動作?

帳密傳入他人伺服器是因為在其他網站「 輸入自己的帳號密碼
誰在釣魚網頁上輸入自己的帳號密碼?

這就是 Social-Engineering (社交工程) 可怕之處,
他不是利用資訊技術的漏洞讓你受害,
他不必入侵你的電腦,他入侵的是你的心理。

心理學?
#

仔細想想會發現,這的確與「 心理學 」有關,很多時候我們在實施社交工程前,會先了解目標所感興趣之事物,這有助於提升成功機率,例如對方喜歡「 」,那麼在信箱中的病毒可能標題就會是「 可愛的貓咪圖檔 」,至於怎麼蒐集目標資訊…… 。

我該怎麼預防?
#

其實在許多的資安宣導中一再的強調以下幾點:

  • 不隨意點擊來路不明的連結
    • 當你不確定連結是否可靠時,千萬別因為一時的好奇心去點擊它,不妨先看看「Domain Name (網域名稱)」是什麼,覺得可疑的話,可以先拿去 Google 看看相關資訊。
  • 盡量不使用非官方的檔案
    • 使用任何非官方的載點時都有一定的風險,有些是官方的檔案被拿去「 加工 」過的,所以即使功能正常,你也很難保證背後不會有其他的惡意程序在運行。另外,許多標榜免費的「遊戲外掛」其實是夾帶著病毒的,別讓自己的電腦成為 肉雞 (Zombie, 殭屍電腦)
  • 公共場合的網路不要亂連
    • 在許多如「 7-11 」、「 星巴克 」等公共場所都會搜尋到許多名稱像是「 Free-Wifi 」、「 Free-2F 」無密碼的無線網路,會讓人誤以為是店家提供給顧客使用的網絡,但實際上很多是有心人士所架設的,連上了將有被MITM (中間人攻擊)的風險。
  • 輸入帳密前先評估風險
    • 首先,使用公共場所的裝置(如圖書館電腦) 登入自身帳號本身就具有極高的風險,另外你還需要擔心剛剛所提到的「 釣魚網頁 」,請一定要在登入之前確認清楚「Domain Name (網域名稱)」。
  • 防毒軟體(?)
    • 市面上有許多防毒軟體供你選擇,由於本人的電腦一台是 Linux 作業系統,另一台是Windows10 作業系統,前者沒安裝防毒軟體,後者其實個人認為內建的「 Windows Defender 」也夠用了,所以目前沒什麼可以推薦的防毒軟體,硬要說的話… 「 AVG 」? 但在此 不建議360 安全衛士」、「Avira AntiVirus 小紅傘」,原因其實圈內人都很清楚,當然這也只是我個人的想法,不代表真的不好。
羊駝
作者
羊駝
用心分享各類資訊,希望大家會喜歡