攻擊者利用員工一念之仁進行攻擊最難防範,但要保護公司免當社交工程(socialengineering)騙術受害者還是有規則可循。
你被騙過嗎?社交工程者誘騙手法往往相當細膩,受害者往往還不知所以然就上了鉤。社交工程者往往利用人性弱點而非技術/軟件漏洞來入侵保護周延的網絡。
小偷,非強盜
這種詐騙大師的典型之一就是英國的KevinMitnick,他曾因電腦犯罪前後進出監獄三次,出獄後Mitnick決定改邪歸正,現在經營起一家顧問公司DefensiveThinking,專門保護企業員工免受社交工程騙術之害。
Mitnick在犯罪全盛時期,幾乎無所不騙,他可誘使人們泄漏各種信息,包括密碼、上網帳號、一般技術信息等。我們訪問了Mitnick,看看社交工程騙子打電話進公司找人時最常希望拿到哪些信息。
「這多半是打電話進去,然後套出他們的密碼,」他說,「但其實還有更精密的攻擊手法,只為了取得各種細碎的信息。」
比方說你看上某家軟件公司,(這是Mitnick之前最常做的事,先是在80年代竊取DEC公司的源代碼,後來陸續還找過諾基亞、Sun、摩托羅拉與NEC),你不會直接打進去找IT管理員,開口就說,「密碼多少?」
有技巧的攻擊者會安瞄準比較容易下手的部分,比如公司區域網絡上的某台工作站,利用常見的技術漏洞做入侵。接著社交工程就可派上用場,用來尋找網絡上哪台機器才是攻擊者真正想要的目標,如此便可節省許多胡亂在LAN上模索的時間,同時也可降低誤觸安全警報的風險。
如何破解攻擊手法?
訓練員工權衡突發的「請求」事件,表示社交工程高手最愛給人戴高帽,比方說「只有像你這麼聰明的人才肯幫我,待會我寄給文件給你,請你打開附件看看。conAd1();」他們也會使用恫嚇方式,「要是你不說出密碼讓我進入我的mail信箱,你就等著被革職。」
若你能拒絕這種「狀況外」的請求,你大概就贏一半了,「關鍵在于訓練員工了解哪些是合法的請求,哪些不是。」Mitnick說。
有些簡單的政策也很容易遵循,幾乎所有社交工程師不會顯示來電號碼,「他們會找各種借口,比如說我的手機電池快沒電等等的,」Mitnick如此說,公司只要立下規定說,若有人來電請求的信息是具有**/機密性質的,員工必須真的知道有這號人物,然後回電給對方確認才行,經過這一關,至少七成社交工程騙術都會事跡敗露。
只要有人來電要求重設密碼,IT人員務必回電該名員工做確認,這樣的政策絕對有助于破解社交工程騙子。
Mitnick不是IT安全通才,社交工程才是他的拿手戲,Mitnick之前還研究過心理層面才能屢屢犯罪得逞,「社交心理學說人類有兩種思考模式,一種是系統(systematic)模式,一種則是探索式的(heuristic),」Mitnick解釋說,當你在系統模式下,你會有動機去做思考,若是在探索式模式下,你就懶散過去,你會分心,思考其他東西,「我們有90%時間都處于這種狀態。」
也就是在這種時候我們最容易變成攻擊者的共謀,社交工程師就是有辦法說服受害者,讓他們沒有機會仔細思考。最厲害的是,他們所做的要求往往是超乎受害者日常工作範圍之外的。
「你跟人聊天時,若發現對方跟你是同鄉,或者有相同的嗜好興趣,那麼攻擊者就會盡量迎合你的所好,因為就心理學而言,你會比較喜歡跟自己很像的人,」Mitnick說,「而你喜歡某人後,你自然也比較可能答應對方的請求。」
「一旦發現對方跟你有太多巧合,那你就應該心生警覺了。」他說。
設定紅燈與黃燈警戒線
Mitnick建議引進紅綠燈制度來協助員工判斷是否被誘騙了。conAd2();
人性本善,大家一開始多半會相信陌生人,而不會故意去懷疑對方,這也讓社交工程騙子有機可乘。你是否曾經幫同棟大樓的陌生住戶開門?大家都喜歡給人好印象,即使跟陌生人也是如此,也因此大家都很樂于施點小恩小惠,同理,若對方給予一些回報也是一種禮尚往來,這種人性傾向反而成了攻擊者的最大漏洞,Mitnick如此認為。他以往最成功的例子都是通過這種手段犯下的。
「若有人給你一點好處,你理所當然也會有所回饋,這種人之常情走到哪里都適用,尤其是美國,」他說,「攻擊者會假裝是在協助你解決問題,或者他們會刻意制造問題,然後再假裝幫你忙。」
攻擊者可能假裝是管理部門做抽查,先打給IT維修部門,要求原公告知待修清單,一旦取得某一待修單的詳細內容後,這位社交工程師又可假裝是維修人員,打給熬熬待援的員工,並協助他們解決問題。之後幾小時候,攻擊者又可打電話回來說,「嗨,我是IT部門某某人,剛剛幫你解決email的問題。我等會寄一個診斷工具給你,你可幫我執行一下嗎?」一般而言,用戶多半不會拒絕,這招看似很簡單,但許多人一時不察絕對都會上鉤。
Mitnick表示要求他人泄漏信息或代為執行某些動做其實很類似銷售員一般。「這只是把業務或營銷技巧用在壞的地方而已。因此公司必須設定紅燈與黃燈警示,讓員工清楚知道哪些狀況有可能會上當。」
除了訓練員工外,還要加以督導驗收才行,Mitnick表示,這種風險無法完全被排除,但卻可以降到最低,證據何在?即使是Mitnick這種社交工程高手,最後也不是栽了嗎?
PrintChapterError();