社交工程是指在資訊安全方面操縱人的心理,使其採取行動或洩露機密資訊[1]有別於社會科學中的社會工程,這是種以收集資訊、欺詐或入侵系統為目的的信任騙局,已發展出各種技術手段,並可能用於犯罪。

概念

以前,社交工程屬社會學,但其影響他人心理的效果引起電腦安全專家注意。[2]它也定義為「影響某人採取可能或可能不符合其最佳利益的行動之任何行為」。[3]與社會科學中的社會工程不同,後者不涉及洩露機密資訊的問題。這是種以資訊收集、欺詐或系統訪問為目的的信任騙局,與傳統「騙局」不同,它通常是更複雜的欺詐計劃中的許多步驟之一。英美普通法系一般認為這行為侵犯隱私

社會工程的一例是在大多數須登入的網站使用「忘記密碼」功能。不安全的密碼恢復系統可用來授予攻擊者對使用者帳戶的完全存取權,而原使用者將不能再存取帳戶。

手段和術語

所有社交工程攻擊都建基於使人決斷產生認知偏差的基礎。[4]這些偏差有時稱「人類硬體漏洞」,足以產生眾多攻擊方式,其中一些包括:

  • 假託(pretexting)是一種製造虛假情形,以迫使針對受害人吐露平時不願洩露的資訊的手段。該方法通常預含對特殊情景專用術語的研究,以建立合情合理的假象。
  • 調虎離山(diversion theft)[5]
  • 線上聊天/電話釣魚(IVR/interactive voice response/phone phishing):用另一種身分與聊天者交流,過程中鬆懈對方的警戒心,從而取得想要的資訊。
  • 下餌(Baiting)[6]:以取得機密資訊為目的,「投食」目標,使其放鬆警惕,並且借他人進一步取得第三人的手段。
  • 等價交換(Quid pro quo)[7]:攻擊者偽裝成公司內部技術人員或者問卷調查人員,要求對方給出密碼等關鍵資訊。在2003年資訊安全調查中,90%辦公室人員答應給出自己的密碼以換取調查人員聲稱提供的一枝廉價鋼筆。後續也有調查發現用巧克力和諸如其他一些小誘惑可得到同樣結果(未檢驗得到的密碼是否有效)。攻擊者也可能偽裝成公司技術支援人員,「幫助」解決技術問題,悄悄植入惡意程式或盜取資訊。 [8]
  • 同情心:攻擊者偽裝成弱者但不限於通過說話聲音帶哭腔等手段來騙取受害者的同情心,以此來取得想要取得的資訊
  • 尾隨(Tailgating或Piggybacking):通常是指尾隨者利用另一合法受權者的識別機制,通過某些檢查點,進入一個限制區域。

資訊技術演進

雖然社交工程學已流傳多年,但仍一再成功利用,並且不斷演進。各類型的網路犯罪和資安威脅,都會用社交工程學的技巧,尤其是在目標式攻擊中使用的頻率愈來愈高。網路罪犯以往只會用世界盃足球賽或情人節等標題聳動的全球事件或新聞來引誘使用者,現在有其他的犯罪手法往往也搭配使用社交工程學技巧。

可能的常見方式有:

  • 釣魚攻擊:是一種企圖從電子通訊中,偽裝成信譽卓著的法人媒體以獲得使用者名稱、密碼和信用卡資訊等敏感個人資料的犯罪詐騙過程。
  • 電腦蠕蟲:不需附在別的程式內,也可以使用者不介入操作的情況下也能自我複製或執行。
  • 垃圾郵件:以電子郵件包裝著惡意木馬程式的電子郵件入侵受害者電腦,例如主旨為美國總統大選結果的電子郵件附件卻包含惡意木馬程式。

特別人物

美國前頭號駭客密凱文(Kevin David Mitnick)著有安全著作《反欺騙的藝術英語The Art of Deception》,有人認為是社交工程大師和開山鼻祖。

參考文獻

延伸閱讀

Wikiwand in your browser!

Seamless Wikipedia browsing. On steroids.

Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.

Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.