EP5 - 人性是最大的安全漏洞
Podcast 連結
本集內容大綱
社交工程 Social Engineering
- 針對人性的弱點進行詐騙或攻擊
- 人不像機器,人會懶惰、會忘記、會貪婪、會粗心
- 在各種攻擊手法中最難防範的一種
社交工程的攻擊切入點
- 權力
- 熟悉性
- 從眾性
- 急迫性
- 恐嚇
- 稀有性
社交工程例子
- 老闆在搭飛機前寄信給你要求你匯款到客戶的新帳戶,且要在他降落前將事情處理好
這種攻擊結合了權力和急迫性,再加上老闆在搭飛機時無法聯繫,造成資訊驗證的困難
在權力和時間急迫性下,使人容易上鉤,將金額匯入假的帳戶中
- 同事透過 Google Drive 分享了一個檔案給你
利用了你對同事和 Google 的熟悉性來博取你的信任
誘使你點擊信中的連結把你騙到假的 Google 的網站,企圖騙取你的帳號密碼
在工作上是很常見的攻擊
- 非洲的一名律師寄信給你,告知你當地的富豪過世了,且將龐大的遺產留給你。為了完成程序需要你提供銀行帳戶資訊或匯一筆手續費給他
利用了稀有性和急迫性,再加上人性的貪念來吸引人上鉤
這種攻擊手法 2017 年時在美國讓攻擊者獲利了 70 萬美金
- 以下截圖為最近在工作上見到的實際例子
社交工程與 Email
Email 為最常見的社交工程攻擊管道,原因為以 Email 進行攻擊成本極低
假設一次成功的 Email 攻擊可以帶來一千美金的收入,那麼只要寄出一萬封攻擊郵件,只要一千人中有一個人上鉤,他們的收益就有一萬美金
詐騙電話
- 小時候常聽見的例子:歹徒謊稱孫子被綁架,騙老人家到 ATM 匯款付贖金
- 近期美國常見的例子:指控你因寄送包裹而涉嫌跨國犯罪,詐騙者假裝交由警察進行身分調查,企圖騙取受害者個人資料和金錢
防禦與避免的手法與技巧
- 危機意識:有危機意識才知道怎麼注意與防範
- 不要輕信網路上的任何東西:網路上的任何東西都有可能被竄改或假冒
- 太過美好的東西一定是假的或詐騙:突然中大獎或很便宜的 iPhone / Airpods 一定都是假的
- Email / 網頁 讓你感覺不對:如果讓你覺得怪怪的八成就是有問題。以下面的截圖為例,左上角的圖示沒有正常顯示、文字的排版完全混亂,就是有問題的癥兆。其他徵兆還有像是顏色很奇怪、文去不通順很像 Google 翻譯而來
- 觀察信中或網頁上不重要的連結是否有效:假的網站往往不會顧及到太細節的地方,因此那些不重要的連結很常會是無效的,以我工作中觀察到的經驗,沒有任何一個釣魚網站上的”忘記密碼”連結是有效的。像是以下截圖中紅色框起的部分,都是我們可以用來觀察一個網站正確性的指標
-
觀察寄件人的信箱網域或網頁的網址是不是正確的 ([email protected]這個信箱的網域就是@之後的”gmail.com”)
- 數字 1 vs. 英文字母小寫 l、數字 0 vs. 英文字母 o
- google.com vs. g00g1e.com
- drive.google.com vs. drive-google.com
-
當我們使用電腦瀏覽網頁時,如果將滑鼠移到連結上方,就可以在畫面左下角看到該連結的網址。我們可以透過這個方式,在不點開連結的情況下先觀察網址是不是安全的
-
搜尋網域或網址來查詢相關資訊
- VirusTotal:病毒與有害網址的整合資料庫,可以透過上傳檔案或輸入連結來查詢安不安全
-
注意寄件者的信箱與信件內容的關聯性
- Facebook 的帳號異常通知信卻是由某個 gmail 信箱寄來的就一定是詐騙
- 上面排版混亂的那張截圖就是一個實際的例子,信中寫的是 Paypal 的帳號問題,但寄件者是網域是一個莫名其妙的 hafrewsevomka.com 網址
-
如果認識寄件者的話
- 打電話或傳訊息給他來了解 Email 的目的與確認是否帳號盜用之類的情況
- 記得不要直接回覆 Email 或訊息,要透過另一種方式與他們聯繫。因為如果帳號遭到盜用,那麼攻擊者就帳號的控制權,也因此有辦法回覆你的訊息騙你說那不是詐騙
Google 的釣魚攻擊小測驗
網頁連結:Phishing Quiz with Google
由 Google 推出,為了推廣警覺性和教育大家釣魚攻擊的小測驗,只有八題十分簡短,但利用了實際的例子和清楚的解釋了釣魚信件的攻擊手法和避免方式