甚麼是社交工程?

Tball

網絡犯罪集團的社交工程技巧的核心是利用受害者易受騙、貪婪、好奇心或任何其他非常人性化的特質所編造的謊言。

最後,受害者會主動提供私密資訊給黑客,無論是個人(如姓名、電郵)、財務(如信用卡號碼、加密錢包),或是不小心在自己的系統上安裝惡意程式或後門程式。

我們可以根據目標將現代化攻擊分成兩大類:黑客會攻擊電腦,或者攻擊用戶。「攻擊電腦」從 1996 年的漏洞攻擊開始,主要反映在「Smash the Stack for Fun and Profit」這篇影響深遠的文章。然而,「攻擊人類」(社交工程)已經變得越來越普遍,而且還越來越盛行。所有已知的非漏洞式攻擊都含有社交工程元素,黑客會試圖說服受害者做一些最終會讓他們陷入危險的事情。

社交工程威脅的類型

雖然並非完整清單,但以下是大家該注意的重要社交工程攻擊:

網絡釣魚

網絡釣魚是最常見的社交工程攻擊 之一。它會利用電郵和短訊來誘騙受害者點選惡意附件或有害網站的連結。

誘餌

這攻擊會利用假承諾引動受害者的貪婪或興趣來誘騙受害者。受害者會被誘騙到一個會導致敏感資訊洩漏或感染裝置的陷阱。其中一個例子就是將受惡意程式感染的隨身碟放在公共場所。受害者可能因為有興趣看其內容而將它插入裝置,不小心安裝了惡意程式。

前置設定

在這攻擊中,一名黑客以謊迦取得資料的存取權。例如,黑客可能假裝需要財務或個人資料來確認收件人的身分。

恐嚇程式

恐嚇程式以假警報與威脅來嚇怕受害者。用戶可能覺得自己的系統感染了惡意程式。然後,他們會安裝建議的軟件更新,但這個軟件本身可能就是惡意程式,例如病毒或間諜程式。例如,瀏覽器會出現彈出式橫幅,顯示「您的電腦可能遭到感染」之類的文字。它會提供安裝修復程式,或者將您導向惡意網站。

魚叉式網絡釣魚與網絡捕鯨

魚叉式網絡釣魚攻擊專門針對個人或企業。同樣地,網絡捕鯨攻擊也會攻擊知名員工,例如執行長和董事。

度身打做

尾隨攻擊就是黑客跟隨某個擁有門禁卡的人走進已實施保安的大樓或辦公室。這攻擊令人以為黑客有資格進入這地區。

人工智能詐騙

人工智能詐騙利用人工智能技術來欺騙受害者。以下是常見的類型:

  • 人工智能文字詐騙:假冒人工智能產生的文字訊息,用來釣魚或散播惡意程式。

  • 人工智能影像詐騙:利用人工智能生成的假影像來操控和欺騙個人。

  • 人工智能語音詐騙:人工智能產生的詐騙語音訊息會冒充受信任的實體並欺騙受害者。 

  • 人工智能影片詐騙:使用人工智能所製作的影片,稱為深偽,用來散播錯誤資訊或針對個人。

若您想進一步了解社交工程攻擊,請參閱我們的 12 種社交工程攻擊網頁。

如何分辨社交工程攻擊

由於這類攻擊有許多不同的形式和規模,而且依賴人類容易出錯的本質,因此很難分辨社交工程攻擊。不過,若您遇到以下情況,我們都會提醒您這些都是重大的警訊,並顯示正開始發動社交工程攻擊:

  • 來自陌生人不請自來的電郵或短訊。

  • 該訊息看來應該非常緊急。

  • 該訊息要求您點選網址或開啟附件。 

  • 該訊息包含許多錯字和文法錯誤。

  • 或者,您接到陌生人打來的電話。

  • 來電者會試圖向您取得個人資訊。

  • 來電者會試圖讓您下載一些內容。 

  • 來電者的說話方式類似非常緊迫和/或咄咄逼人。

社交工程防護

今日,網絡詐騙集團採用多種社交工程技巧,最佳防範措施就是了解他們可能利用的社交媒體漏洞的不同方式。為免讓網絡犯罪集團的垃圾郵件、網絡釣魚攻擊及惡意程式感染攻擊取得成果,您必須牢牢掌握並確保自己的資料是否安全。

 除了留意上述警告徵兆之外,以下是一些最佳實務守則:

  •  隨時保持作業系統與網絡資訊保安軟件更新。

  • 使用多重認證和密碼管理程式。 

  • 切勿開啟不明來源的電郵和附件檔案。

  • 將您的垃圾郵件過濾條件設定較高。

  • 刪除並忽略任何有關財務資訊或密碼的要求。

  • 若您在互動時懷疑受騙,請保持冷靜,慢慢地處理。 

  • 研究您的網站、企業和個人。

  • 小心在社交媒體上分享的內容,請善用您的私隱設定。

  • 如果您是某家公司的員工,請務必了解資訊保安政策。

社交工程範例

網絡犯罪集團大多以獲利為目的,因此大大提升了從網絡用戶取得敏感資訊的方式。

  • 一月是大多數國家都開始徵稅的時候,這使它成為網絡犯罪集團最喜歡的賺錢目標。社交工程技巧是一種熱門的手法,專門設計配合各種知名場合、假日及熱門新聞來進行攻擊,而網絡犯罪集團亦可從受害者身上賺錢。美國公民都有可能收到假冒美國國稅局訊息來散播的垃圾郵件。

數碼間諜

請點選此處來進一步了解稅季中的惡意程式攻擊

  • Robin Williams 在 2014 年 8 月 12 日英年早逝的新聞,對全世界的人們來說是一場震驚。儘管有關他死亡的新聞在網友之間像野火一樣散播,但垃圾郵件犯罪集團和網絡犯罪集團卻在電郵主旨中散佈了含有他的名字的垃圾郵件。垃圾郵件會要求收件人下載一段有關 William 死亡事件的「shocking」影片,但點選影片網址會下載一個 WORM_GAMARUE.WSTQ 執行檔。

請點選此處來進一步了解這項名人八卦惡意程式攻擊

  • 當有關伊波拉疫情的新聞淹沒了互聯網時,網絡犯罪集團發現有機會利用這些廣泛的報導來誘騙不知情的受害者開啟假電郵。這些電郵最終將導致網絡釣魚攻擊,受害者的資訊和登入憑證被竊取。

請點選此處來進一步了解這項假電郵惡意程式攻擊

  • 2008 年網絡犯罪集團為了破壞和獲利而大規模發動社交工程攻擊。在識別攻擊目標後,以平台為基礎的攻擊主要針對家庭用戶、中小企業及大型企業,進而竊取知識產權及導致重大財務損失。絕大部分的線上詐騙集團都已開發出一種利用 Facebook 和 Twitter 這類社交網站來攻擊網站用戶的方法。

  • 2008 年,Facebook 用戶成為蠕蟲式惡意程式攻擊 KOOBFACE 的目標。2009 年,Twitter 成為網絡犯罪集團的金礦,被用作散佈包含木馬程式的惡意連結。

社交工程攻擊的未來

我們可以將社交工程的互動解構出來,然後細分成以下幾個元素: 

  • 與受害者建立聯繫的「中介」,例如:透過電話、電郵、社交網絡或直接訊息等等。 
  • 「謊言」,黑客會建立假訊息來說服受害者在一段特定時間內採取行動。謊言通常也內建了一種急迫感,例如時間上的限制。 
  • 「要求」就是受害者該採取的行動,例如提供登入憑證、執行惡意檔案、投資某個加密貨幣計劃,或是匯款。 

讓我們舉一個您或許熟悉的案例——典型的電郵詐騙: 

電郵

圖 1 社交工程攻擊的媒體、謊言和要求

截至 2024 年為止,犯罪集團已透過各種網絡功能來接觸受害者。此外,他們也利用虛構事件來組成社交工程詐騙。其目標通常相同,例如揭露密碼、安裝惡意程式、分享個人資訊。 

多年來,我們在社交工程領域上看到了許多不同的行動,所以您有理由相信所有可能的手法似乎都已被使用。然而,黑客每年都會不斷開發新的社交工程技巧。在這篇文章中,我們將探討黑客未來可能改善來誘騙用戶的社交工程技巧。黑客只要改變媒介、謊言或要求,就能輕鬆想出一些新的創新誘餌來欺騙受害者。 

我們預期會看到哪些新的元素? 我們預見舊的詐騙手法有哪些新改變? 新的技術將如何影響這些技術? 

媒介的變化

隨著新技術的興起,黑客將有更多管道來攻擊受害者。包括:人工智能工具、Apple Vision Pro 虛擬實境裝置、Humane 個人識別碼、Ray-Ban 眼鏡,或是未來可能開始使用的任何新裝置。

將穿戴式裝置當成媒介

新的裝置每年都會進入市場,而這將令受攻擊面擴大到網絡犯罪集團。穿戴式裝置尤其有趣,因為它們隨時都在運作,而且完全受到用戶信賴。任何涉及可穿戴裝置的誘餌,都更容易被人信賴。黑客有可能會取得可穿戴裝置的存取權限。它們的設計通常無法部署資訊保安工具,甚至無法定期驗證自己的身分,而且經常會避開正常的資訊保安管控。

圖 2

圖 2:一些可能成為社交工程攻擊媒介的穿戴式裝置。

以聊天機器人為媒介

除此之外,人工智能聊天機器人也可當成工具來接觸用戶 。這攻擊的目的是要將假資訊提供給聊天機器人,以便讓用戶採取行動。聊天機器人資料遭到破壞的方式有很多種,包括提供不良資訊、挾持訓練資料或注入新指令。

新的電郵式攻擊

使用傳統電郵和即時通訊平台的新方法就是使用一種採用大型語言模型的殭屍程式來提升商務電郵詐騙的成效。威脅可利用大型語言模型殭屍程式來收集受害者與執行長之間過去所有訊息的歷史記錄。接下來,殭屍程式就能在這個獲信賴的管道上繼續發展,就像是執行長一樣,使用執行長的寫作風格來說服受害者匯款。這樣的情況已經是手動進行,但這樣的攻擊若能透過人工智能自動化,就無法忽略。

改善謊言

人工智能是推動社交工程謊言創新的主要工具。事實上,社交工程的謊言會隨季節、國家、人口群而改變,但由於人工智能的擴充性與彈性,謊言就可以變化得非常快。生成式人工智能在影像、音訊和影片製作方面表現優異。在文字方面,它擅長建立令人信服的內容,並迅速處理大量的文字。這項新的擴充能力,為社交工程的「謊言」帶來了許多新的發展。

黑客用來製作謊言的新主題就是人工智能技術本身。例如,ChatGPT 或虛擬實境的謊言,很可能是因為他們本身已經令人產生興趣。此外,黑客還會製作一些假的人工智能相關工具,而這些工具其實是惡意程式。平面設計師通常對製作深偽影像和影片感到好奇。黑客可以提供一套工具來協助這項工作,或許可以下載並執行。同樣地,將深偽影像和影片融入現有的詐騙中,也讓這些攻擊更加令人信服。這策略顯然正逐漸崛起。我們相信,深偽很可能會嚴重影響社交工程詐騙,而且黑客不久就會廣泛運用這些詐騙。

圖 3

圖 3.如何利用深偽來強化通話和語音詐騙。

  • 請點選此處來深入了解社交工程的未來。

Trend Vision One™ 平台

Trend Vision One™ 是一套網絡資訊保安平台,能簡化資訊保安作業並協助企業更快偵測及攔截威脅,透過整合多種防護功能,讓企業的受攻擊面獲得更大的掌控力,提供完整的網絡資訊保安風險狀況可視性。

雲端平台運用來自全球 2.5 億個感測器與 16 個威脅研究中心的人工智能與威脅情報,在單一方案中提供完整的風險啟示、早期威脅偵測,以及自動化風險與威脅回應選項。