近期台灣陸續有兩間上市櫃科技公司遭到駭客攻擊,並且駭客還留下已經竊取公司資料的訊息,而根據資安署指出,此種企業遭駭客勒索案件多半是由企業內部人員點擊釣魚連結後所致,而像是釣魚連結這種「社交工程(Social Engineering)」手段,究竟身在電商產業,品牌該如何防患未然呢?本文將帶你一次了解。
說到駭客攻擊導致資安洩漏疑慮的發生,基本上不僅限於大企業或上市櫃公司,只要你擁有具有價值的資料(如消費者個資等),都有可能成為有心人士攻擊的目標,而駭客不僅會找尋你的資安防護漏洞,更有可能透過一些手段來欺騙與操弄公司內部人員的心理,進而讓人員因為受騙而洩漏機敏資料。
像是日前(2024.2)就發生了有跨國企業遭到有心人士以「Deepfake(深度偽造)」技術在視訊會議上進行詐騙,最終該企業損失 2 億港幣,由此可見,在資訊發達的現在,雖是最智慧的時代,也卻也是最危險的時代,不管是品牌還是個人,都該好好保護自己的資訊安全。有鑑於此,本文將從常讓公司內部人員上當的釣魚連結等「社交工程」攻擊開始說起,並且分享如何判斷可疑的攻擊手段,降低企業內部受騙的可能。
「社交工程(Social Engineering)」是什麼?
首先,駭客攻擊有非常多種,那近期台灣上市櫃公司發生的攻擊手段是什麼呢?
你可能會在新聞媒體上看到「社交工程(Social Engineering)」這個字詞,白話來講,就是「駭客不是直接侵入你的系統,而是誘騙你的人心」,而詳細定義「社交工程」,是一種攻擊者利用假冒或欺詐之手段進行「人與人之間的互動」,藉此偽裝自己的攻擊動機來達成資料竊取或是不法金錢獲利。而這操弄人心的攻擊手段近年非常流行,因為系統漏洞往往總是比人心更難以攻克。
而根據 iThome 2023 資安大調查指出,「社交工程」與「勒索軟體資安事件」是企業資安保護最擔憂的攻擊手段前兩名,皆有將近四成的企業(前者為 40.8%,後者為 39.1%)認為此攻擊極具威脅性。主要原因是,當企業員工的資安意識和高層資安認知不足時,社交工程手段就很容易對企業資安造成影響。加上生成式 AI 技術的出現也變相強化了過往詐騙話術的可信度,透過更具有針對性的客製化文字誘導受騙者點擊連結、掃描 QR code 等,都讓企業資安保護變得更加困難。因此,多了解相關的攻擊手段,勢必能降低受騙上當的可能性,以下也分享常見的「社交工程類型」與駭客常使用的誘騙題材:
社交工程常見的類型有哪些?
我們整理了維基百科與其餘網路爬梳之資訊,列舉出以下常見的社交工程類型:
- 【釣魚(Phishing)】:一種典型且相當常見的社交工程手段之一,多半會透過「偽造電子郵件」、「假簡訊」或「詐騙網站」甚至是「線上聊天與假冒電話」等形式,讓受害者降低警戒心,以欺騙受害者提供敏感資訊(如密碼或信用卡資料)。通常釣魚這類攻擊會使用一些誘騙受害者點擊的惡意附件或是有害的網站連結;透過聲音與聊天的類型則會冒用身份引導受害者採取行動。
- 【魚叉式釣魚(Spear Phishing)/ 捕鯨(Whaling)】:相比釣魚,此類型多半會基於特定個人或組織的受害目標進行詳細研究,進行客製化內容的釣魚資訊,讓其看起來更加「可信」。如偽裝成某品牌客服,並鉅細靡遺的描述你與品牌的消費紀錄,讓你深信攻擊者的身份進而受騙上當;而「捕鯨」更是將目標鎖定企業高階主管(總監 / CEO 等職務),以獲得更機敏之資料。
- 【下餌(Baiting)】:通常所謂的「餌」,都是一些能激起人性的好奇與貪欲的事物,來引誘受害者上當,進一步竊取機敏資訊。像是公共場合來路不明的隨身碟等,都很容易加入惡意軟體來等待受害者將其插入至電腦中。
- 【假託(pretexting)】:為製造虛假情形以迫使受害人吐露平時不願洩露的資訊的手段。此類型攻擊通常預含對特殊情景專用術語的研究,以建立合情合理的假象。像是假冒某某專業技術人員,來電與受害者說明一些特殊情況,需要受害者提供財務或個人資料來進行身份確認,好讓技術人員為其排解問題等,這些都是藉機取得受害者資料的方式。
- 【尾隨(Tailgating)與搭順風車(Piggybacking)】:通常都以為是電影中才能見到,但現實生活中仍舊是會發生,顧名思義就是尾隨他人進入一些需要憑證或是安全管理之區域,如有些企業辦公室需要刷門禁卡,而有心人士就會潛伏並尾隨公司人員進入公司內部,另外像是搭順風車(Piggybacking)則為其中一個人知情並允許另一個人(攻擊者)利用他的存取權限,像是假裝員工並手拿很多東西,讓員工誤以為是其餘部門同事,進而協助開門等,亦或是有意為之的協助也是有發生的可能。
- 【假冒或偽裝身分(Impersonation / Masquerading)】:攻擊者偽裝成其他人或組織進行欺詐行為,如假裝成公司 IT 部門員工,請同事提供登入資訊;或是假裝人資部門向員工索取更多個人資訊等。有些假冒身份更會透過「問卷調查」、「有獎勵之問卷」等形式強化可信度,藉此騙過公司成員。
- 【恐嚇軟體(Scareware)】:恐嚇軟體也是很多詐騙網站常會跳出的訊息,透過假警報與資訊,讓受害者以為自身電腦受到惡意軟體與病毒感染,需要進一步安裝更多建議修復程式來處理(此可能為惡意軟體),進而透過惡意軟體取得更多個資。像是電影蜂刑者(The Beekeeper)便是以瀏覽器彈出「電腦可能已被病毒感染」的視窗文字,進而引導受害者安裝修復程式以竊取不法收益。
- 【肩窺(Shoulder Surfing)】:攻擊者親自或使用遠端工具,直接監視受害者輸入的資訊,如觀看他人輸入密碼。
其實攻擊方式還有非常多種,像前面提到的 Deepfake 進行身份冒用也是,此外新興攻擊手法也層出不窮,所以不論是品牌還是個人,都應該隨時保持警惕,提高資安意識才更能保護自身與服務之公司。接下來也分享幾個駭客可能會使用的內容。
如何減少被網路詐騙,該如何強化資安免疫力?
針對社交工程等網路資安詐騙手段,基本上就是要不斷提高警覺,留言這種危險訊號,以下提供 7 種減少自己被詐騙或資料外洩的作法,雖然網路資安保護沒辦法做到 100%,但多一層關注、少一層失誤才能建立最好的防護網,詳見以下:
一、收到 Email 或簡訊都先用「看」的,先不要進行任何「動作」
收到來自「未知或是陌生網域」的 Email或是「無法確認寄件人」之簡訊,通常內文若夾帶「不明連結或按鈕」、「附件檔案」、「QR code」等,千萬不要點擊,基本上就先查證再說。若是想要查證信件中的連結是否安全,可以透過一些知名的資安檢測網站(如: Safeweb 或 Virustotal ) 確認一下其安全性,減少自己被攻擊的可能。
多半釣魚信件等內文都會包含許多「拼寫錯誤」或「文法錯誤」,甚至若對方是台灣企業,基本上也不會出現簡體字等文字,如覺得很可疑,請向寄件者確認,無法聯絡寄件者,再次強烈建議先勿點開連結或附件檔案。另外釣魚信件也常會冒用你熟悉的公司、品牌官網,讓你降低警惕,請切勿在信件或簡訊中進行「帳號登入」、「信用卡資訊輸入」、「提供重要證件」等。
二、面對情況危急與攻擊性訊息時,勿輕易相信信件與簡訊,實際查證並主動聯繫對方官方為先
如果收到的信件或是簡訊「內容表現出十萬火急的情況」,亦或是告訴你可能「會因為未回覆及處理而吃上官司」等威脅性訊息,都先留意信件寄件者資訊是否正確(其信箱名稱 / 地址 / 簽名檔等拼字是否正確),或實際查詢該公司或機關的官方聯絡資訊,主動致電詢問。
三、接收到引導性電話或簡訊,指示要提高警覺,勿直接照做
若是接到來電者試圖從你那裡獲取個人資訊、或是請你下載檔案,亦或是利用善良人性等情緒勒索的情況溝通時,皆要保持高度警覺性,不要輕易相信跟採取行動,目前基本上會藉由「電話」引導或指示你進行關於個人相關資訊有關之操作,皆有高機率為詐騙。
四、公司與私人接收訊息管道需分開
若是於企業服務,請勿使用公務信箱接收私人信件,或是訂閱非公務用途之網站訊息,如訂閱新聞、購買商品等,且公務信箱僅用於公務範圍內,切勿轉寄公司內部資訊至私人信箱與儲存空間中。
五、涉及機敏資料,勿將人情凌駕於資安保護原則上
正所謂「商場即戰場」,有時可能也會接收到同業的親朋好友詢問公司機密資訊,亦或是希望透過拜訪的方式在非業務合作上進行辦公室參訪、借用商店後台登入等情形,皆須保持警覺並了解動機,並且避免與其談論到相關資訊,或提供憑證授權等。
六、小心背景透露重要資訊,任何公開內容都須留意
在資訊發達的時代,專業駭客要搜尋到一個人的所在地,或許只需要照片中「一丁點」線索就夠,甚至他們會用意想不到的手法來得知個人或是企業的重要情報。
而在網路上就有一種搜尋推理遊戲叫「網路追蹤(Searching)」,是透過網路上一些開源資訊(Open-Source Intelligence,OSINT)來合法獲得訊息的搜尋競賽。而 GeoGuessr 這款遊戲也是類似的玩法,遊戲會將玩家放置到一個半隨機的 Google 街景地點,要求玩家只能通過可見的線索來猜測他們在世界上的位置,深受很多玩家喜愛。
但是如果這種技術若是被有心人士利用,就有可能在你個人或是公司公開的照片、影片等資訊中,找出他能試圖獲取你重要資訊的切入點,進而造成你的權益受損,像是有知名度的人士時常拍照背景會模糊處理,都是為了避免被他人鎖定位置,而這樣的追蹤技術甚至也能透過 AI 也提升搜尋精準度,所以對於個人或品牌在公開自身資訊時,切勿要注意畫面與資訊中,是否有機敏資料,亦或是「有可能」讓你自身被竊取資料的任何線索,都要多加留意及過濾。(像是照片「檔案資訊」有時會包含 GPS 定位資料等,這都是你可能在表現上「看不見」的線索)
七、培養資訊安全知識
最後,除了上述六點,第七點就是要時刻保持資訊安全知識的累積,了解更多攻擊手法,勢必能在碰上危機時能更加冷靜,同時也能針對可能的漏洞與弱點進行補強,防止品牌被攻擊後造成更嚴重的損失,而像是 iThome 等網站都有內容相當豐富的資安專區,非常建議品牌可以定期留意上面的資訊,也可以聘請相關資安保護技術人員來為品牌最多一層的把關,保障自己的資產之餘,也保障品牌顧客的權益。
電商品牌如何強化品牌的資訊安全?
而對於品牌資訊安全保護,可以參考以下做法找到適合自己品牌的防護措施,詳見以下:
- 【安裝防毒軟體強化、或是使用密碼保護工具等】:基本上電腦都需安裝防毒軟體等來強化基礎保護;也可以利用像是 1Password 等密碼管理工具來有效管理各種登入密碼。
- 【後台權限管理與密碼保護】:建議品牌根據「職務內容」設定後台管理員帳號的權限,避免所有管理員皆有全權,同時也建議每位會操作到後台的人員,皆能夠定期更換後台登入密碼,且登入後台使用的 Email 帳號也建議不定期變更密碼;另外日常使用的電腦、手機等裝置務必定期掃毒,並且切勿使用公共電腦或在公共網路的環境下操作後台管理。
- 【各種後台登入雙重驗證】:開啟「雙重驗證 OTP」等功能,可以有效大幅降低駭客入侵機率。
- 【指定登入後台 IP】:品牌可以設定限制網站後台登入 IP 位址,以防止駭客入侵。
- 【Google reCAPTCHA 註冊驗證】:防止駭客使用機器人不斷用不同帳號密碼嘗試登入,同時確保資料傳輸的安全性。
- 【依權限隱藏重要資料明細】:以電商網站來說,不論是訂單還是會員資料,都可以按權限設定隱藏重要資訊,僅讓負責相對工作的人員能看到他該看的資訊即可。
- 【限制資料匯出與隱藏資訊】:有時遇到需要匯出網站資料時,都有可能因為多次匯出到不同電腦中,導致中毒電腦外洩資料,因此在資料匯出上,除了需要限制匯出權限外,也可以隱藏重要資訊,如會員姓名隱藏一個字、電話隱藏後 3 碼等,多一層對資料的保護。
看完以上內容,不論你是品牌還是個人,都可以藉由上面的資訊安全保護的作法來強化防詐免疫力,相信做完這些建議,一定能減少自己遇到網路詐騙的可能性。
