本論壇文章反映作者意見,不代表《遠見》立場

子導覽列
首頁 > 國內外政經 > 張瑞雄台北 > 提防另類駭客:社交工程

提防另類駭客:社交工程

發文時間: 2023/11/02   文 / 張瑞雄台北 瀏覽數 / 2,900+

我們大多數人都有相似的特徵,沒有人喜歡在工作上遇到問題,我們為那些有困難的人感到遺憾。我們傾向於幫助那些正在努力解決問題的人,即使這意味著要稍微改變規則或暫時違反協議。

如果我們喜歡或同情有問題的人,就更有可能這樣做。我們也習慣於服從權威人物,我們希望被視為有能力提供幫助,並願意參與其中。

熟悉這些心理的壞蛋,可以利用所有這些特徵,去引誘強迫人們,做壞蛋想要他們做的事,它利用人類心理,來引導粗心的人,採取一些對犯罪者有利的行動,這就是所謂的社交工程(Social Engineering)。

利用人性弱點,慢慢贏得受害者信任和接受

社交工程就是駭客攻擊,但並不是利用技術漏洞來侵入您的網路。社交工程攻擊你的心理,也就是你防禦的有機層。社交工程攻擊可能發生在一次電話中,也可能會持續一段時間,慢慢贏得受害者的信任和接受,他們的目標,是通過或繞過你心理和實體的安全防衛措施。

這也不是什麼新鮮事,自從騙子存在以來,社交工程就一直存在。有些古老的騙術,是行之有效的,所以它們不可避免地,會被現代的網路壞蛋採用和使用。壞蛋致力於研究人們的心理弱點,例如人類的善良和樂於助人的願望,或者人類較差的人性,例如貪婪和恐懼。

社交工程攻擊可能涉及電話交談、電子郵件,或是親自前往您的場所交談,大部分壞蛋會結合使用必須的手法,來滿足詐騙的需要。壞蛋會隨時收集目標的情報資訊,他們監控社群媒體X(以前是Twitter)和LinkedIn,並尋找能帶給壞蛋優勢的資訊。社群媒體是一把雙面刃,你向世界傳播的內容,很容易被用來對付你。

例如,壞蛋可能會看到一位公司執行長將到外地參加會議,它為壞蛋提供了「介入」的機會,壞蛋會打電話到公司,要求與執行長的祕書通話,因為他們談論的,是執行長參加會議的真實事件,所以祕書沒有理由懷疑來電者是欺詐性的。

如果壞蛋使用變造的來電顯示,使通話看起來像是來自該事件的真實電話號碼,那麼祕書更加沒有理由懷疑這是詐騙電話。這時,壞蛋會提出問題,並尋求祕書協助,像是「我們有他的預訂紀錄,但沒有訂金或付款紀錄。如果在下班之前,也就是接下來的十分鐘內無法解決這個問題,會被罵得很慘,希望你能拯救我。您是否有預訂時所用信用卡的詳細信息,以便我查看我們的紀錄?」

先思考合理性或發生機率,就可以阻止這些攻擊

社交工程很難防,首先,要花點時間思考電話或電郵是從哪裡來的,不要盲目相信。突然接到電話說你中獎500萬?您的執行長發送一封電郵,要求提供大量有關員工個人的資訊?所有這些都很可疑,都要再三檢查來源。此外,社交工程通常取決於緊迫感,壞蛋希望他們的目標,沒有時間思考正在發生的事情,因此只要花點時間思考一下合理性,或是事情發生的機率,就可以阻止這些攻擊。

所以如果感到時間壓力,就放慢整個過程。告訴對方你需要時間來拿資料,你需要詢問你的經理,你現在沒有正確的資訊等等,任何可以放慢速度,並給自己時間思考的理由。大多數時候,如果壞蛋意識到自己失去了出其不意的優勢,他們就不會再碰運氣了。

本文章反映作者意見,不代表《遠見》立場
(作者為台北商大前校長、叡陽資訊數位轉型大使)