2012年5月14日 星期一

窺探人心的駭客新手法


窺探人心的駭客新手法

電影《火柴人》(Matchstick Men)中,尼可拉斯凱吉(Nicolas Cage)所飾的主角與女星艾莉森羅曼(Alison Lohman)有這麼一段對話:
羅曼:「你看起來不像個壞人。」
凱吉:「所以我才屢屢得手。」

這段簡短的對白道出了所有詐欺手段的原理,無論是在數位空間或真實世界中都一樣——以狡猾的手段令某人卸下心防,讓竊盜變得更容易。以駭客的術語來說,即所謂的社交工程(social engineering)。

社交工程的目的就在於窺探人心,比起零時差攻擊(zero day attack)等藉以尋找軟體弱點作為入侵企業跳板的手法,顯然社交工程要容易得多。零時差攻擊的作法,對駭客來說需要花費大量時間且價值不菲。但若能以影響力或說服力欺騙他人,在其機器中植入病毒碼,那就可降低許多入侵時的探索代價。總而言之,只要可以說服某人讓你登堂入室,那又何必費力破門而入?

話說回來,什麼才是技術高超的社交工程入侵?關鍵就在於誘因。舉凡臉書上的一則吸睛的名人八卦貼文,到一封標題與你公司業務相關的電子郵件,類型千奇百怪。

過去幾年來最知名的一次攻擊,就是針對美國網路安全公司RSA的入侵事件,當時就肇始於一名員工開啟了標題為「2011年招募計畫」的電子郵件。當該名員工打開了信件中所附的檔案,他就因暗藏的誤導手法而啟用了一連串的動作,最後導致公司資料遭到破解。

入侵系統需要對撰寫弱點刺探程式具有相當的知識,但若要破解心防卻需要不一樣的知識。說穿了,就是哪種電子郵件或網址連結最容易誘使人們點閱。

掌握這種資訊的手法之一,即從人們的工作與興趣著手,而這類資訊最好的來源,就是社群網路。只要耐心地瀏覽LinkedIn資料,就能挖掘出某人的職涯與職位;從一個不設防的臉書帳號,就能研究出他的交友圈和嗜好。

雖然過去幾年來社群網路致力於強化隱私控管,很多人可能還是對此視若無睹,不經意地將完全不熟識的人加為朋友,導致隱私控管形同虛設。根據研究顯示,光是臉書上的一個假人帳號,就擁有平均726個「朋友」,是網站中一般使用者朋友人數的5倍以上。

想要窺探人心,還有其他不同的形式。例如,搜尋引擎最佳化(SEO)就是駭客最愛的新手段。原本SEO的用意在於設法提升你的網站在搜尋引擎中的排名。只要運用得當,這是完全合法的;但要是居心不良,就可能誘使人們誤入惡意網站。其他還有一些根本談不上是技術的技術,例如傳統的電話詐欺便可突破心防。

根據Check Point贊助Dimensional Research所進行的研究發現,在全球受訪的853位IT人員當中,有43%的受訪者表示,他們曾經是社交工程的鎖定目標。研究還發現,新進員工最容易被這類攻擊突破,有60%認為新聘用人員是社交工程的「高風險群」。

但不幸的是,教育訓練似乎無法抑阻這類威脅,而且只有26%的受訪者確實持續執行訓練,34%的受訪者表示他們完全不曾刻意教導員工要提高警覺。不過這股趨勢正在變化,已經有更多的企業逐漸開始注重資安威脅,以及何種社交工程技術最容易使員工上當。

教育訓練是防範入侵攻擊的重要關鍵之一,整個過程必須從宣導資料保護的資安政策開始,包括控管哪些人可以接觸何種資訊,制定強制實施的規範,在日常作業中落實執行。

從此開始,員工應了解資安政策內容,然後針對宣導偵測到的攻擊資訊對員工進行模擬測試,這樣他們才可以進一步了解他們自身是如何成為被駭客覬覦的目標並提高警覺。如果有一封非預期的電子郵件要求提供隱私訊息,那麼較好的作法即是追蹤該發信人的身分以確保該信件是否安全且合法。

要維持穩健的資訊安全環境,必須要有受到良好保護的網路和端點,以及隨時進行最新的安全修正。但事實上,在對抗「人心」的入侵時,員工心態上的調整遠比技術的武裝更為重要。

企業必須經常對員工更新關於公司資安政策的新知,同時保持警覺,知道駭客是如何在旁窺伺。將這類資訊融入到教育訓練計畫當中,就可以產生截然不同的結果:資料外洩、或是資安無虞的辦公室。

轉載自(文章由Check Point 台灣區總經理馬勝彰撰,DIGITIMES整理)