什麼是社交工程攻擊?

在社交工程攻擊中,受害者被操縱交出可被用於惡意目的的敏感性資訊。

學習目標

閱讀本文後,您將能夠:

  • 定義社交工程
  • 概述幾種類型的社交工程攻擊
  • 瞭解避免成為社交工程攻擊受害者的最佳做法

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是社交工程?

從廣義上講,社交工程是操縱人們放棄敏感性資訊的做法。社交工程學攻擊可能當面發生,例如竊賊裝扮成送貨員闖入建築物。本文將重點關注社交工程網路攻擊。在大多數情況下,此類攻擊旨在使受害者洩露登入認證或敏感的財務資訊。

  • 攻擊者向受害者傳送電子郵件,並將電子郵件偽裝成似乎來自受害者連絡人清單中的某人。電子郵件中可能包含可疑連結,點擊連結即會執行惡意的 Cross-site scripting 攻擊,或將受害者導向到惡意網站。
  • 攻擊者使用聲稱是流行電影或軟體下載的連結線上誘騙使用者,但這些下載連結實際上包含惡意負載。
  • 攻擊者聯絡受害人,聲稱自己是富裕的外國人,需要美國銀行帳號資訊來轉移其財富,並提供豐厚的酬謝以換取受害者的銀行帳號資訊。實際上,攻擊者是為了盜取受害者帳戶中的錢財。
社交工程範例

除了這些小型的個人社交工程騙局之外,還存在針對整個組織的更複雜的社交工程攻擊,例如,隨身碟丟棄攻擊。這些攻擊可以針對受到良好保護的公司網路,甚至是沒有連接到網際網路的公司。攻擊者透過在目標公司的停車場周圍散落多個 USB 磁碟機來實現此目的。他們在這些磁碟機上貼上誘人的標籤,例如「機密」,期待一些好奇的員工撿到並插入其電腦。這些驅動器可能包含破壞性很強的病毒或蠕蟲,由於它們是從本地電腦進入網路的,因此很難偵測到。

社會工程攻擊有哪些知名範例?

2011 年 RSA 的資料外洩事件引起了巨大轟動,這主要是因為 RSA 是一家值得信賴的安全公司。該漏洞導致 RSA 廣受歡迎的雙重驗證服務 SecurID 中斷。雖然攻擊的所有細節尚未公開,但眾所周知,攻擊始於社交工程攻擊。攻擊是透過基本的網路釣魚攻擊發起的,攻擊者向 RSA 底層員工傳送看似有關招聘的公司電子郵件。某個員工開啟了電子郵件中的附件,從而觸發了攻擊。

美聯社在 2013 年遭到了社交工程攻擊,導致股票市場暴跌 1,360 億美元。這同樣是透過發給員工的網路釣魚攻擊引起的。一名員工開啟了電子郵件中的連結,由此觸發了攻擊,導致 AP 的 Twitter 帳戶遭到入侵,攻擊者在 Twitter 上發佈了有關白宮爆炸的虛假新聞報導。這個虛假的新聞故事迅速流傳開來,導致道指暴跌 150 點。一個名為 Syrian Electronic Army 的敘利亞駭客組織聲稱對這次攻擊負責,但從未提供任何證據。

由於攻擊手段非常高明,2013 年針對 Target 的資料外洩攻擊已成為歷史上最臭名昭著的網路攻擊之一。像此處提到的其他攻擊一樣,這次攻擊也始於社交工程攻擊,但攻擊者並未透過 Target 的任何員工發動攻擊。相反,他們向為 Target 商店安裝高科技空調的廠商的員工傳送電子郵件。這些空調連結到 Target 的店內電腦系統。攻擊者入侵第三方廠商後,便得以入侵 Target 的網路並從數千家商店的信用卡掃描器中收集信用卡資訊,導致大約 4000 萬目標客戶的財務資訊洩露。

如何防範社交工程攻擊

儘管電子郵件篩選之類的自動安全功能有助於阻止攻擊者與受害者聯繫,但是防禦社交工程攻擊的最佳方法是瞭解常識以及及時瞭解常見的社交工程攻擊方法。美國電腦應急準備小組 (US-CERT) 建議公民警惕任何可疑的通訊,並僅在安全網頁上透過 Web 提交敏感性資訊(HTTPSTLS 是網站安全性的良好標識)。他們還建議不要點擊電子郵件中的連結,而是直接在瀏覽器中輸入可信任公司的 URL。網站擁有者可以使用 Cloudflare CDN 等服務來協助防範此類攻擊,當攻擊者使用其網域進行網路釣魚攻擊時,該服務會向其傳送提醒。