在現代社會中,人與人之間的連繫互動,經常是經由網路或常見的社群媒體讓我們的生活更加便利,但同時也帶來了許多資安風險。此次辧理的資安講座,主題在於探討社交工程及日常生活常見的危害,並分享如何保護自己免受這些危害。社交工程是指駭客透過誘騙、欺騙等來獲取個人敏感資訊的一種手段,在日常生活中多所耳聞,也時時常見,例如網路詐騙、假冒電話等等。因此,我們需要提高警覺,學習如何保護自己的資訊安全。本學期再次邀請任職於SGS,並於政府機構及多所大學擔任資訊安全講師,同時也是教育部資通安全稽核-技術主導檢測員身份的王登右講師,蒞臨本校講授資安的教育訓練課程。
此次課程指出社交工程經常利用人與人之間的信任關係進行的詐騙或收集資訊。舉凡電話、電子郵件、網路圖片、即時通訊軟體、隨身碟、應用程式等,都有可能是社交工程的途徑。常見的社交工程五大類型說明如下:
- 電信詐騙:通常是透過電話或簡訊等方式,冒充某個公司或機構,誘騙受害人提供個人資訊或轉帳款項,造成財務金錢上的危害。
- BEC商務郵件詐騙:又可稱變臉詐騙,則是透過仿冒公司高層管理者的電子郵件,引誘受害人執行轉帳、授權等操作。透過電子郵件傳送惡意軟體的比例高達94%。防範的建議,除了仔細檢查電子郵件,執行重要業務時,須再次與相關人員進行多次確認。
- BPC商業流程入侵:是指攻擊者針對企業內部電子化流程,或是自動化系統進行竄改,藉以獲取利益及收集資訊的手法以達到詐騙目的。防禦策略除了定期執行內部滲透測試評估外,系統宜定期稽核紀錄與交易,防止可疑的網路活動,同時依業務職掌設定最小權限原則。
- 網路釣魚:是透過仿冒正規網站或服務,誘騙使用者提供個人資訊或機密資料。被報導的資安事件中,超過 80% 的成因來自釣魚攻擊。統計資料顯示釣魚攻擊平均每分鐘造成 17,700 美元的損失。
- 惡意的應用程式:則是透過設計惡意軟體,竊取使用者的資訊或進行攻擊。舉凡應用程式套件、小工具、綠色軟體、手機APP、一鍵安裝工具包等…都藏有社交工程的蹤跡。
社交工程的攻擊者常使用的手法包含有密碼填充攻擊和APT攻擊。密碼填充攻擊是一種利用暴力破解、字典檔攻擊、資料分析和撞庫攻擊等方式,攻擊者可以利用社交工程方式取得目標人員的帳號,並藉由上述方式進行密碼猜測,獲取目標帳號的存取權限;APT攻擊(Advanced Persistent Threats進階持續性威脅)是一種持續性的進階攻擊手法,攻擊者會透過資訊收集、社交工程、潛伏、橫向擴散、資料收集和資料外洩等方式,進行系統入侵或敏感資訊竊取。在此過程中,社交工程是攻擊的其中一個步驟,攻擊者透過社交技巧,誘騙目標人員提供許多有用的資訊,例如帳號密碼、企業機密等等,並協助攻擊者完成入侵的目標。若能透過資安教育訓練,讓同仁多留意常見的攻擊手法及模式,才能建立防範措施以避免被攻擊。
資安教育訓練可以幫助同仁改變對資安的認知和態度,透過這些知識的學習,除了提高對資安風險的認識和警覺性,在使用數位資訊科技相關設備時面臨的風險,學會更加謹慎和負責任地使用,這對於個人和組織的資安保護都至關重要。 (撰文、照片:電算中心 教育訓練組 )
