網路詐騙手法!釣魚信件、釣魚網站的社交工程駭客常見3手法!
什麼是社交工程?
社交工程這個字眼相信大家都不陌生,在我們果核數位的服務裡面也佔了一個服務項目,那大家對於社交工程又有多少了解呢?
首先先介紹一下社交工程本身是什麼?社交工程泛指所有透過誘騙方式來完成惡意活動的手法,其中包含層面甚為廣泛,然而社交工程又可分為主動型與被動型。主動型指的是像釣魚郵件、簡訊釣魚、社交平台釣魚……等目標明確並主動出擊的手法,被動型則是像網頁釣魚、手機app木馬、QR Cord誘騙與各種釣魚誘騙下載木馬等。
相信閱讀到這大家已經可以感受到,社交工程和其他駭客攻擊最不同之處就是…「社交工程」本身其實就是一場騙局,相較其他攻擊手法,社交工程並不再單純透過資訊安全漏洞進行攻擊,而是透過欺騙誘導的方式得到受害者信任,在建立完彼此信任的前提下進而取得個人資料、設備權限、或竊取財物、甚至破壞行為。
社交工程有哪些手法?
1-1. 釣魚郵件
在不少資安大會上常看到一個數據,「90%的網路攻擊是從一封釣魚郵件開始的」,這個數據赤裸裸地表達出釣魚由現在網路攻擊這塊佔著什麼樣的重要性,我們更可以透過Gmail與G Suite企業信箱收到釣魚郵件比率發現,比起個人信箱,駭客更常使用釣魚郵件作為針對企業資訊安全攻擊的手法,引導用戶至假冒的網站,甚至引導用戶下載後門木馬或鍵盤竊聽軟體。
釣魚郵件手法最常見的就是使用html郵件格式,並在html中嵌入惡意行為,不論是開啟郵件時背景執行連線行為或下載行為、惡意超連結的誘導、圖片下載誘騙還是惡意附件檔的攻擊,最後都將可能導致用戶帳號、密碼及個人資訊外洩,然而駭客就可以利用冒用帳號的手段來騙取更多商業機密或散佈木馬程式和勒索病毒。
1-2. 釣魚網站
釣魚網站本身可以說是最常見也是受害人數最多的社交工程手法,這種手法通常會透過誘騙你下載惡意程式、在網頁中鑲嵌惡意連結或跳出惡意視窗等手法來讓大家願者上鉤,其中惡意視窗最多人見過的就是類似下圖的中獎通知,針對這張中獎通知來說,只要你按了刪除病毒的按鈕,便會自動下載病毒程式到電腦並執行,而針對此類型攻擊原則上不論點取彈跳視窗任何地方都有可能造成電腦本身自動下載惡意程式,建議已關閉瀏覽器方式來避免進一步被攻擊。
1-3. 社交平台釣魚
近日FB平台假抽獎活動頻頻上新聞被報導出來,不論是抽手機抽機車還是抽車子抽房子,各種假冒公司假冒店家抽獎的活動比比皆是,而多數此類型的釣魚攻擊最後都會將使用者誘騙到惡意連結或line群組,進而對使用者個人資訊或設備安全進行攻擊手段,而此種假冒官方的抽獎活動並不在少數。針對FB部分其實FB官方也建議使用者,要進行抽獎前進行近一步確認,不論是透過內建藍色小勾勾功能,或是透過官方網站的聯繫方式進行確認都是確保自己安全的好方法。1-4. QR Code誘騙
QR Code 是近幾年越來越多人使用的好工具,然而大家對QR Code的瞭解又有多少呢?QR Code是一個二維條碼相信大家都知道,但其中又包含了哪些資訊呢?
QR Code本身除了資料主體以外,其中也包含了一個重複資料的區域,這個設計是為了讓QR Code在被掃描時,如果發生無法掃描的意外,可以透過重複資料區來確保資料被完整傳達,然而這個功能也成為了駭客的好工具。惡意人士可以透過架設免費QR Code產生的頁面於網路上,並在使用者製造QR Code的過程中將惡意連結塞入重複資料區,然而QR Code失敗率本身在條碼被製造出來時就已經確定,一般使用者在下載使用後並不會感覺到異樣,但當掃描人數提高時就會有一定比例的人被導向惡意連結,而使用者在遇到此情形並不會優先懷疑QR Code本身問題,因為並非所有使用者都是被導向惡意連結。
QR Code的釣魚案例其實並非少數,最近也有傳出駭客利用某些通社交媒體電腦版QR Code登入功能進行誘騙,進而騙取用戶帳號密碼與位置等資訊,更顯示出這個工具本身安全性市值得被更深入探討的。
如何自我保護?
在資訊爆炸的年代,除非你是原始人否則這些資安資訊都會與每個人息息相關,那該怎樣預防這些社交工程攻擊呢?
針對釣魚郵件攻擊來說,建議關閉自動下載圖片功能並關閉郵件自動預覽功能,如果可以更建議開啟純文字閱讀功能,透過此方式更能確保郵件本身並不是被加工附帶惡意行為。
針對網頁釣魚,URL的確認其實是一個很有效也很基本的預防手段,當然像是惡意廣告或彈挑通知攻擊,也可以透過一些擋廣告工具或防止彈跳視窗的方式來避免誤觸。當然最重要的還是建議避免使用第三方軟件,也盡量避免從非官方載點下載任何檔案。
針對QR Code部分,建議以瀏覽器搜尋為主盡量避免使用QR Code,如果真的必要使用的情形下,建議下載一些可靠的公司官方發佈的一些安全掃描QR Code APP來做多一層把關。
最後就是!不要鬼迷心竅!不要讓自己的色慾、購物慾、貪小便宜甚至是惰性成為駭客利用的管道。