編織藉口 (pretexting) 是一種社交工程攻擊手法,駭客會編造一個假的情境或「藉口」來誘騙受害者提供個人敏感資訊。
目錄
了解編織藉口詐騙:一種社交工程技巧
您是否曾經接過宣稱是「技術支援」的人員來電,跟您說您有問題需要立即處理? 他們或許會劈頭就向您索取個人資訊或帳號資料,好讓他們能立即幫您處理這個問題,這就是一種統稱為「編織藉口」的社交工程技巧。
這項技巧絕大部分都是透過電話方式進行,歹徒會捏造一個情境來說服受害人提供自己的個人資訊或有價值的資料。詐騙集團會假扮成合法或熟悉的人員來讓受害者卸下心防,例如網際網路業者 (ISP) 的客服人員、另一個分行或辦公室的同事,或是公司內部的支援人員。歹徒有時會事先蒐集目標對象的相關資訊,讓詐騙看起來更有說服力。
所以,問題就在於如何分辨來電的人到底是詐騙集團還是正常人員。一般來說,若您接到不請自來的電話,而且劈頭就向您索取個人資訊 (身分證字號、帳號安全問題等等),那麼您應該先確認來電者的真實性。先掛斷電話,然後自己打給該公司來確認是否真有這一回事。
編織藉口攻擊如何運作:逐步拆解
- 研究目標對象 – 駭客會經由一些公開來源情報(OSINT)、社群媒體,或之前發生的資料外洩事件等等來蒐集個人或企業的資訊。
- 冒充身分 – 駭客會假扮成某種可信任的人員,例如:IT 人員、執行長或執法人員,利用權威來建立合法性,讓受害者更容易聽從指示。
- 造假 – 為了增加可信度,駭客會偽造電子郵件、來電號碼,或網路個人檔案,還可能使用深偽 (deepfake) 技術與 AI 生成的語音讓人更難察覺。
- 取得目標對象的信任 – 駭客會操弄受害者的心理來建立可信度並降低懷疑。
- 取得敏感資訊 – 受害者在不知情狀況下提供詳細的機密資訊,並相信其接觸的對象是真的。
- 使用取得的資料 – 駭客會將得手的資訊用於身分盜用、金融詐騙、企業間諜活動,或是進一步的網路攻擊。
編織藉口攻擊的常見範例
語音釣魚
語音釣魚 (Vishing) 是語音網路釣魚 (Voice Phishing) 的簡稱,屬於一種社交工程攻擊,駭客利用電話或語音通訊來誘騙他人揭露敏感資訊,例如:銀行帳戶資料、登入憑證,或是個人身分識別資訊 (PII)。
網路釣魚
圖 1:Heatstroke 網路釣魚攻擊的感染鏈,請注意,感染鏈可能隨著使用者/行為的特性而變化。
尾隨
尾隨 (tailgating) 攻擊在資安領域指的是一種實體保全的安全漏洞,也就是未獲授權人員緊跟著已獲授權人員進入管制區域。駭客可能假扮成新進員工、送貨司機,或維修人員來欺騙已獲授權的員工。
利用誘餌讓人上鉤
利用誘餌讓人上鉤 (Baiting) 是指駭客集團誘騙受害者與已遭入侵的實體裝置或數位資產進行互動。駭客會編織藉口讓受害者更容易上鉤,比方說在 USB 隨身碟上標示著誘人的文字,例如在企業環境內就標示著「機密」或「員工薪資」,引誘被害人將它插入電腦。
愛情詐騙
愛情詐騙是一種社交工程技巧,駭客利用捏造的社群媒體或交友網站個人檔案來尋找不知情受害者,然後與他們建立戀愛關係。駭客可能會花費數週或數個月的時間來取得受害者的信任,一旦取得信任,就會假借急需用錢或索取禮物的方式要求受害者支付一大筆錢。
恐嚇軟體詐騙
恐嚇軟體 (scareware) 也是社交工程詐騙的一種,利用假的警報和威脅來嚇唬受害者,例如透過欺騙方式讓使用者以為自己的系統感染了惡意程式,接著鼓勵受害者造訪惡意網站來下載修正程式,但最終卻下載到惡意程式,或提供了自己的敏感資訊 (例如信用卡資料)。
編織藉口與網路釣魚:有何差別?
儘管兩者都是社交工程技巧,但編織藉口詐騙的手法是一種直接接觸受害者的個人化互動詐騙,反觀網路釣魚通常是大量散播含有惡意連結的電子郵件。不過,在多重層次的攻擊中,駭客經常會將兩者結合。
如何防範編織藉口攻擊
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC 是一種電子郵件認證通訊協定,藉由驗證電子郵件寄件人的真實性來防範假冒的電子郵件。DMARC 可與 SPF (Sender Policy Framework) 和 DKIM (DomainKeys Identified Mail) 相輔相成來確保電子郵件的真實性與完整性。
SPF (Sender Policy Framework): 確保唯有經過授權的電子郵件伺服器才能代表企業的網域發送訊息。
DKIM (DomainKeys Identified Mail): 使用加密簽章來確認電子郵件在傳輸過程中並未遭到篡改。
- DMARC 政策強制:企業可設定一些政策 (無、隔離或拒絕) 來決定如何處理未通過認證的電子郵件。嚴格的 DMARC 政策可大幅降低駭客利用假冒網域來從事編織藉口攻擊的可能性。
資安意識訓練與驗證實務
定期舉辦網路資安教育訓練來教導員工如何辨別和應付編織藉口詐騙,這有助於保護您的企業。企業應該將重點放在:
辨別可疑的要求並檢驗其真實性。
在提供敏感資料或授權金融交易之前,先經由正式管道聯絡提出要求的人。
分辨編織藉口攻擊中所使用的心理操弄技巧。
多重認證 (MFA)
MFA 藉由要求通過多種認證方式 (例如一次性密碼或生物特徵驗證) 來增加一道額外的安全性,如此可大幅降低駭客使用偷來的登入憑證入侵的風險。
通報可疑活動
企業應鼓勵員工向 IT 資安團隊通報任何可疑的電話、電子郵件或訊息,以便做進一步的調查。建立一套主動通報機制,可幫助企業預先偵測及回應潛在的威脅,不讓威脅有機會升高。
哪裡可以取得有關編織藉口攻擊的協助?
TrendAI Vision One™ 提供以下功能來偵測、攔截及防範恐嚇軟體威脅,避免威脅影響營運:
Email Security 可攔截網路釣魚和惡意連結。
Endpoint Security 可提供應用程式控管與沙盒模擬分析。
XDR 能交叉關聯電子郵件、端點、網路及雲端系統的威脅。
採用進階防護來保護您的企業,防範社交工程與恐嚇軟體。
常見問題 (FAQ)
什麼是編織藉口?
編織藉口是社交工程手法的一種,駭客編造一個容易讓人相信的故事來誘騙受害者揭露敏感資訊或授予存取權限。
編織藉口如何運作?
編織藉口的運作步驟是:編造一個假的情境、取得信任、假冒權威人士、說服受害者提供機密資訊或採取有害行動。
編織藉口攻擊的範例有哪些?
一個常見的例子就是:駭客假扮成 IT 支援人員要求您提供驗證資訊,藉此誘騙員工提供密碼或機密的系統資訊。
編織藉口與網路釣魚的差別在哪裡?
編織藉口靠的是精心編造的情境以及人員互動,而網路釣魚則是利用詐騙訊息或電子郵件來竊取登入憑證或敏感資料。
如何防範編織藉口?
要防範編織藉口攻擊,企業應該在所有通訊管道上實施嚴格的驗證程序、員工訓練、多重認證、資料處理政策,以及零信任資安實務。