淺談社交工程攻防戰、滲透測試揪出疏忽員工

經過多年的發展,現時要成功向目標主動發起攻擊及進行入侵已比以往困難,事關很多用户都已安裝了防毒軟件,而公司亦備有先進的進階防禦入侵等方案,於是黑客開始在想:

「與其辛苦與這些強大的防禦方案搏鬥,為甚麼不讓用户自願乖乖的執行惡意程式,輕輕鬆鬆讓用户中招?」

黑客們最終想到了一種非電腦技術層面的攻擊方法,而這亦是 15 年來最為有效的方法,就是採用「人性的弱點」,而其中可統稱為「社交工程攻擊」;所謂的社交工程攻擊,就是通過一些方法獲取目標的信任,通過人性的弱點從而成功讓目標自願執行惡意程式。

 

至今最有效的攻擊方式
其實社交工程攻擊,就是通過利用一些誘因從而操控人類心理,現時普遍的社交工程攻擊都集中於兩大主要目的:1. 收集資訊以進行販賣;2. 取得目標電腦的存取權限或管理員權限。

如何通過社交工程收集個人資訊?
通過社交工程收集個人資訊是最為容易,以往大家都可能曾經收到很多中獎的垃圾郵件,開啟了以後會指你已經中獎了,只需輸入你的個人資料便可獲得獎品如 iPhone 等。當你輸入了個人資料後,很明顯資料已送給黑客,但永遠也不會收到獎品。

上述方法幾乎完全沒有技術成分,就只是一些街頭騙案的網上版,就是這樣簡單!估計即使經多年來的宣傳,但「中招」的人數仍頗多。
spam_20160226_01

如何通過社交工程取得系統控制權?
另一個方法,可能男士會較容易中招,就是通過發送一些色情邀請,例如一些性交易的電郵邀請,這些郵件通常會附有連結,當你按下後便會連到惡意網站,打開後有些會自動下載惡意程式,而這些程式大小一般不會多於 10kb,幾乎一按即完成下載,因此你是不會有足夠時間取消下載的,而這些程式一旦下載到你的電腦內,有機會會自動執行,尤其是用户如果沒有安裝防毒軟件的話, 便肯定會「中招」了。

這些惡意程式一旦執行後,很多時都是以取得系統的控制權為主,黑客便是通過這些方法去取得用户系統的控制權。
spam_20160226_02
如何預防?
簡單,就是提高本身的安全意識。因為社交工程攻擊手法,往往是非技術性的,反而更多會是針對人性的弱點。

舉個例子,早於數年前,香港便出現了大量的藝人不雅照,而假如當時黑客發送一封電子郵件,題目為:香港藝人裸照事件打包下載;當中需要用户輸入個人資料才可下載,相信下載的數量應該十分多;而黑客當然不會向你分享裸照,反而通常情況下,大家下載的檔案正正就是黑客精心準備的惡意軟件,這樣黑客便可同時取得你的個人資料及電腦的控制權限。

「由於好奇心驅使下,我們相信即使很多人知道檔案可能具有惡意程式,但仍會繼續下載,無懼風險!」

所以預防的方法應該是糾正個人意識開始,首先每當下載附件時,不論檔案是否十分吸引,你必需先確認寄件人是否真確,假如是陌生人寄來的附件,就不應下載了;另外,大家亦應該安裝收費版本的防毒軟件,事關防毒軟件可以在檔案下載到系統前,便於暫存位置先完成掃描工作,萬一發現檔案是惡意程式時,往往會自動刪除,這樣便可提升了整體的安全性及保障了。

公司應如何配合?
相信大家都知道,面對這些社交工程攻擊,最有效的方法是教肓員工,令他們能提高網絡安全危機意識,例如:

  1. 舉行研討會
    公司可以定期為員工安排研討會,當中除了分享最新的網絡安全形勢之外,更需要常常向員工灌輸正確的網絡安全意識。
  1. 進行滲透測試(Penetration Test, PT
    另一個更有效的方法,就是將傳統針對機器的滲透測試轉為針對員工發動!舉個例子,你可以模擬黑客,抽出近期的一些社會熱話並向員工發出郵件,郵件之中附有登記表格又或者一些附件檔案,最終便可得知那些員工仍然忽略公司安全政策而去下載或開啟這些垃圾郵件。

經常對員工進行滲透測試並揪出犯規員工作出具有阻嚇性的懲罰是一個不錯的方法,通過這種方法絕對可令員工不會再隨意開啟垃圾郵件,絕對能收到阻嚇作用!而且更可有效改善公司因員工好奇心而導致可能出現或可能受到的 APT 攻擊。

Comments are closed