Social-Engineering (社交工程)|你駭計算機,我駭你心。

Concept (概念分享)
  1. 1. 前言
  2. 2. 心理誘導的概念
  3. 3. 釣魚攻擊 (Phishing Attack)
  4. 4. 自己幫助駭客入侵自己
  5. 5. 心理學?
  6. 6. 我該怎麼預防?

什麼是社交工程?是心理學的一種嗎?兩者之間有什麼關聯?社交工程是指詐騙嗎?

嘿!別想的太複雜,其實你應該也經歷過


前言

注意!
本文技巧禁止用於非法用途,一切行為請自行負責,與本站無關。本文僅作為學術研討用途。

刑法第三百五十八條:「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」 刑法第三百六十三條:「第三百五十八條至第三百六十條之罪,須告訴乃論。

心理誘導的概念

很多時候,有心人士希望達成某個特定目的時,會透過言語文字肢體誘導他人去協助達成該目的。
舉個常見的例子,詐騙集團在騙取你的財物時,他的目標是你「ATM裡的錢」,此為「特定目的」。可是他沒有權限可以調動裡面的金錢,於是他在電話裡透過欺騙式的言語誘導你去「自己去操作ATM」,此為「言語誘導」。當你真的聽信他所說的謊言時,你自己操作了ATM,並且將錢轉到對方指定的帳戶,此時對方也達成目的了,此為「協助達成」,你協助詐騙集團「操作你的ATM」。

釣魚攻擊 (Phishing Attack)

網路釣魚 (Phishing Attack)」是個常見的社交工程例子,並且這個名字取的很好,你可以想像「釣魚」的情境,你需要有「環境釣鉤魚餌」。以剛剛詐騙集團的例子來說:
電話中」就是你們之間所處的「環境」;「你(受害者)」則是「」;「釣鉤」是「ATM匯款的動作」;最後「魚餌」就是「謊言」。

再舉個常見的例子 - 「電子信箱散播病毒」。

在某些例子當中,一些駭客並非是為了自身的利益目的,有些只是想搞破壞,我們稱之為「Cracker (破壞者)」,廣義的解釋差不多是「惡意對伺服器進行入侵、竊取資料、盜用帳戶及破壞 者」。
這類人很多會透過利用 E-Mail (電子信箱) 來散播惡意連結及含有 病毒 (Virus) 的檔案,因為他們無法直接對你電腦植入病毒,所以需要透過你來幫忙點擊連結或下載檔案。另外像是「WIFI 詐欺」、「釣魚登入網站」也是常見的「網路釣魚 (Phishing Attack)」,整理一下:

  • 利用「釣竿掛魚餌」誘導魚自己「吃魚餌」達成「上鉤」的目的。
  • 利用「通話與謊言」誘導你自己「操作ATM」達成「匯錢」的目的。
  • 利用「電子信箱來寄惡意信件」誘導你自己「點擊惡意連結」達成「電腦中毒」的目的。
  • 利用「架設誤導性名稱的AP」誘導你自己「連上該 WIFI」達成「中間人攔截封包」的目的。
  • 利用「架設假的登入界面」誘導你「輸入帳號密碼登入」達成「竊取帳戶」的目的。

自己幫助駭客入侵自己

在上述的各個例子中,你會發現一個規律…
就是這些入侵事件的關鍵步驟都是「自己操作」的!

讓錢真正被調動的步驟是「操作ATM轉帳
誰操作ATM進行轉帳的?

電腦真正中毒的步驟是「開啟惡意檔案
誰點擊連結下載惡意檔案並開啟的?

被中間人攻擊的前一刻是「連上WIFI
誰做連接WIFI的動作?

帳密傳入他人伺服器是因為在其他網站「輸入自己的帳號密碼
誰在釣魚網頁上輸入自己的帳號密碼?

這就是 Social-Engineering (社交工程) 可怕之處,
他不是利用資訊技術的漏洞讓你受害,
他不必入侵你的電腦,他入侵的是你的心理。

心理學?

仔細想想會發現,這的確與「心理學」有關,很多時候我們在實施社交工程前,會先了解目標所感興趣之事物,這有助於提升成功機率,例如對方喜歡「」,那麼在信箱中的病毒可能標題就會是「可愛的貓咪圖檔」,至於怎麼蒐集目標資訊…… 。

我該怎麼預防?

其實在許多的資安宣導中一再的強調以下幾點:

  • 不隨意點擊來路不明的連結
    • 當你不了解一個連結是什麼時,好奇心會驅使你去點擊它,但在點擊之前,不妨先看看「Domain Name (網域名稱)」是什麼,覺得可疑的也可以先拿去google看看相關資訊。
  • 盡量不使用非官方的檔案
    • 使用任何非官方的載點時都有一定的風險,有些是官方的檔案被拿去「加工」過的,所以即使功能正常,你也很難保證背後不會有其他的惡意程序在運行。另外,許多標榜免費的「遊戲外掛」其實是夾帶著病毒的,別讓自己的電腦成為 肉雞 (Zombie 殭屍電腦)
  • 公共場合的網路不要亂連
    • 在許多如「7-11」、「星巴克」等公共場所都會搜尋到許多名稱像是「Free-Wifi」、「Free-2F」無密碼的無線網路,會讓人誤以為是店家提供給顧客使用的網絡,但實際上很多是有心人士所架設的,連上了將有被中間人的風險。
  • 輸入帳密前先評估風險
    • 首先,使用公共場所的裝置(如圖書館電腦) 做登入本身就具有極高的風險,另外你還需要擔心剛剛所提到的「釣魚網頁」,請一定要在登入之前確認清楚「Domain Name (網域名稱)」。
  • 防毒軟體(?)
    • 市面上有許多防毒軟體供你選擇,由於本人的電腦一台是 Linux 作業系統,另一台是Windows10 作業系統,前者沒安裝防毒軟體,後者其實個人認為內建的「Windows Defender」也夠用了,所以目前沒什麼可以推薦的防毒軟體,硬要說的話… 「AVG」? 但在此 不建議360 安全衛士」、「Avira AntiVirus 小紅傘」,原因其實圈內人都很清楚,當然這也只是我個人的想法,不代表真的不好。
zh-tw Social-Engineering (社交工程) Psychology (心理學) 網絡詐騙 Phishing (釣魚攻擊)
next: prev: