文章列表

EP5 - 人性是最大的安全漏洞

Podcast連結


本集內容大綱

社交工程 Social Engineering

  • 針對人性的弱點進行詐騙或攻擊
  • 人不像機器,人會懶惰、會忘記、會貪婪、會粗心
  • 在各種攻擊手法中最難防範的一種

社交工程的攻擊切入點

  • 權力
  • 熟悉性
  • 從眾性
  • 急迫性
  • 恐嚇
  • 稀有性

社交工程例子

  • 老闆在搭飛機前寄信給你要求你匯款到客戶的新帳戶,且要在他降落前將事情處理好
    這種攻擊結合了權力和急迫性,再加上老闆在搭飛機時無法聯繫,造成資訊驗證的困難
    在權力和時間急迫性下,使人容易上鉤,將金額匯入假的帳戶中

social engineer example1

  • 同事透過Google Drive分享了一個檔案給你
    利用了你對同事和Google的熟悉性來博取你的信任
    誘使你點擊信中的連結把你騙到假的Google的網站,企圖騙取你的帳號密碼
    在工作上是很常見的攻擊

social engineer example2

  • 非洲的一名律師寄信給你,告知你當地的富豪過世了,且將龐大的遺產留給你。為了完成程序需要你提供銀行帳戶資訊或匯一筆手續費給他
    利用了稀有性和急迫性,再加上人性的貪念來吸引人上鉤
    這種攻擊手法2017年時在美國讓攻擊者獲利了70萬美金

social engineer example3

  • 以下截圖為最近在工作上見到的實際例子

nigeria phishing

社交工程與Email

Email 為最常見的社交工程攻擊管道,原因為以Email進行攻擊成本極低
假設一次成功的Email攻擊可以帶來一千美金的收入,那麼只要寄出一萬封攻擊郵件,只要一千人中有一個人上鉤,他們的收益就有一萬美金

詐騙電話

  • 小時候常聽見的例子:歹徒謊稱孫子被綁架,騙老人家到ATM匯款付贖金
  • 近期美國常見的例子:指控你因寄送包裹而涉嫌跨國犯罪,詐騙者假裝交由警察進行身分調查,企圖騙取受害者個人資料和金錢

防禦與避免的手法與技巧

  • 危機意識:有危機意識才知道怎麼注意與防範
  • 不要輕信網路上的任何東西:網路上的任何東西都有可能被竄改或假冒
  • 太過美好的東西一定是假的或詐騙:突然中大獎或很便宜的iPhone / Airpods一定都是假的
  • Email / 網頁 讓你感覺不對:如果讓你覺得怪怪的八成就是有問題。以下面的截圖為例,左上角的圖示沒有正常顯示、文字的排版完全混亂,就是有問題的癥兆。其他徵兆還有像是顏色很奇怪、文去不通順很像Google翻譯而來

twitter phishing

  • 觀察信中或網頁上不重要的連結是否有效:假的網站往往不會顧及到太細節的地方,因此那些不重要的連結很常會是無效的,以我工作中觀察到的經驗,沒有任何一個釣魚網站上的”忘記密碼”連結是有效的。像是以下截圖中紅色框起的部分,都是我們可以用來觀察一個網站正確性的指標

outlook screenshot

  • 觀察寄件人的信箱網域或網頁的網址是不是正確的 ([email protected]這個信箱的網域就是@之後的”gmail.com”)

    • 數字1 vs. 英文字母小寫 l、數字 0 vs. 英文字母 o
    • google.com vs. g00g1e.com
    • drive.google.com vs. drive-google.com
  • 當我們使用電腦瀏覽網頁時,如果將滑鼠移到連結上方,就可以在畫面左下角看到該連結的網址。我們可以透過這個方式,在不點開連結的情況下先觀察網址是不是安全的

urlhighlight screenshot

  • 搜尋網域或網址來查詢相關資訊

    • Google
    • VirusTotal:病毒與有害網址的整合資料庫,可以透過上傳檔案或輸入連結來查詢安不安全
  • 注意寄件者的信箱與信件內容的關聯性

    • Facebook的帳號異常通知信卻是由某個gmail信箱寄來的就一定是詐騙
    • 上面排版混亂的那張截圖就是一個實際的例子,信中寫的是Paypal的帳號問題,但寄件者是網域是一個莫名其妙的hafrewsevomka.com網址
  • 如果認識寄件者的話

    • 打電話或傳訊息給他來了解Email的目的與確認是否帳號盜用之類的情況
    • 記得不要直接回覆Email或訊息,要透過另一種方式與他們聯繫。因為如果帳號遭到盜用,那麼攻擊者就帳號的控制權,也因此有辦法回覆你的訊息騙你說那不是詐騙

Google 的釣魚攻擊小測驗

網頁連結:Phishing Quiz with Google

由Google推出,為了推廣警覺性和教育大家釣魚攻擊的小測驗,只有八題十分簡短,但利用了實際的例子和清楚的解釋了釣魚信件的攻擊手法和避免方式