社交工程

對人進行心理操縱,使其採取行動或洩露機密信息

社交工程是指在資訊保安方面操縱人的心理,使其採取行動或泄露機密資訊[1]有別於社會科學中的社會工程,這是種以收集資訊、欺詐或入侵系統為目的的信任騙局,已發展出各種技術手段,並可能用於犯罪。

概念

編輯

以前,社交工程屬社會學,但其影響他人心理的效果引起電腦安全專家注意。[2]它也定義為「影響某人採取可能或可能不符合其最佳利益的行動之任何行為」。[3]與社會科學中的社會工程不同,後者不涉及泄露機密資訊的問題。這是種以資訊收集、欺詐或系統訪問為目的的信任騙局,與傳統「騙局」不同,它通常是更複雜的欺詐計劃中的許多步驟之一。英美普通法系一般認為這行為侵犯私隱

社會工程的一例是在大多數須登入的網站使用「忘記密碼」功能。不安全的密碼恢復系統可用來授予攻擊者對用戶帳戶的完全存取權,而原用戶將不能再存取帳戶。

手段和術語

編輯

所有社交工程攻擊都建基於使人決斷產生認知偏差的基礎。[4]這些偏差有時稱「人類硬件漏洞」,足以產生眾多攻擊方式,其中一些包括:

  • 假託(pretexting)是一種製造虛假情形,以迫使針對受害人吐露平時不願泄露的資訊的手段。該方法通常預含對特殊情景專用術語的研究,以建立合情合理的假象。
  • 調虎離山(diversion theft)[5]
  • 線上聊天/電話釣魚(IVR/interactive voice response/phone phishing):用另一種身份與聊天者交流,過程中鬆懈對方的警戒心,從而取得想要的資訊。
  • 下餌(Baiting)[6]:以取得機密資訊為目的,「投食」目標,使其放鬆警惕,並且借他人進一步取得第三人的手段。
  • 等價交換(Quid pro quo)[7]:攻擊者偽裝成公司內部技術人員或者問卷調查人員,要求對方給出密碼等關鍵資訊。在2003年資訊保安調查中,90%辦公室人員答應給出自己的密碼以換取調查人員聲稱提供的一枝廉價鋼筆。後續也有調查發現用巧克力和諸如其他一些小誘惑可得到同樣結果(未檢驗得到的密碼是否有效)。攻擊者也可能偽裝成公司技術支援人員,「幫助」解決技術問題,悄悄植入惡意程式或盜取資訊。 [8]
  • 同情心:攻擊者偽裝成弱者但不限於通過說話聲音帶哭腔等手段來騙取受害者的同情心,以此來取得想要取得的資訊
  • 尾隨(Tailgating或Piggybacking):通常是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。

資訊技術演進

編輯

雖然社交工程學已流傳多年,但仍一再成功利用,並且不斷演進。各類型的網絡犯罪和資安威脅,都會用社交工程學的技巧,尤其是在目標式攻擊中使用的頻率愈來愈高。網絡罪犯以往只會用世界盃足球賽或情人節等標題聳動的全球事件或新聞來引誘用戶,現在有其他的犯罪手法往往也搭配使用社交工程學技巧。

可能的常見方式有:

  • 釣魚攻擊:是一種企圖從電子通訊中,偽裝成信譽卓著的法人媒體以獲得用戶名、密碼和信用卡資訊等敏感個人資料的犯罪詐騙過程。
  • 電腦蠕蟲:不需附在別的程式內,也可以用戶不介入操作的情況下也能自我複製或執行。
  • 垃圾郵件:以電子郵件包裝着惡意木馬程式的電子郵件入侵受害者電腦,例如主旨為美國總統大選結果的電子郵件附件卻包含惡意木馬程式。

特別人物

編輯

美國前頭號黑客密凱文(Kevin David Mitnick)著有安全著作《反欺騙的藝術英語The Art of Deception》,有人認為是社交工程大師和開山鼻祖。

參考文獻

編輯
  1. ^ Goodchild, Joan. Social Engineering: The Basics. csoonline. 11 January 2010 [14 January 2010]. (原始內容存檔於2013-09-22). 
  2. ^ Anderson, Ross J. Security engineering: a guide to building dependable distributed systems 2nd. Indianapolis, IN: Wiley. 2008: 1040 [2013-09-22]. ISBN 978-0-470-06852-6. (原始內容存檔於2019-03-12).  Chapter 2, page 17
  3. ^ Social Engineering Defined. Security Through Education. [3 October 2021]. (原始內容存檔於2018-10-03) (英語). 
  4. ^ Jaco, K: "CSEPS Course Workbook" (2004), unit 3, Jaco Security Publishing.
  5. ^ Train For Life. Web.archive.org. 2010-01-05 [2012-08-09]. (原始內容存檔於2010-01-05). 
  6. ^ 存档副本 (PDF). [2012-03-02]. (原始內容 (PDF)存檔於2007-10-11). 
  7. ^ Leyden, John. Office workers give away passwords. Theregister.co.uk. 2003-04-18 [2012-04-11]. (原始內容存檔於2012-05-03). 
  8. ^ Passwords revealed by sweet deal. BBC News. 2004-04-20 [2012-04-11]. (原始內容存檔於2012-03-27). 

延伸閱讀

編輯
  • Boyington, Gregory. (1990). 'Baa Baa Black Sheep' Published by Gregory Boyington ISBN 0-553-26350-1
  • Harley, David. 1998 Re-Floating the Titanic: Dealing with Social Engineering Attacks頁面存檔備份,存於互聯網檔案館 EICAR Conference.
  • Laribee, Lena. June 2006 Development of methodical social engineering taxonomy project頁面存檔備份,存於互聯網檔案館 Master's Thesis, Naval Postgraduate School.
  • Leyden, John. 18 April 2003. Office workers give away passwords for a cheap pen頁面存檔備份,存於互聯網檔案館. The Register. Retrieved 2004-09-09.
  • Long, Johnny. (2008). No Tech Hacking – A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing Published by Syngress Publishing Inc. ISBN 978-1-59749-215-7
  • Mann, Ian. (2008). Hacking the Human: Social Engineering Techniques and Security Countermeasures Published by Gower Publishing Ltd. ISBN 0-566-08773-1 or ISBN 978-0-566-08773-8
  • Mitnick, Kevin, Kasperavičius, Alexis. (2004). CSEPS Course Workbook. Mitnick Security Publishing.
  • Mitnick, Kevin, Simon, William L., Wozniak, Steve,. (2002). The Art of Deception: Controlling the Human Element of Security Published by Wiley. ISBN 0-471-23712-4 or ISBN 0-7645-4280-X
  • Hadnagy, Christopher, (2011) Social Engineering: The Art of Human Hacking Published by Wiley. ISBN 0-470-63953-9