[專欄] <%:data.title%>

專題 <%:data.title%>

<%:~nl2br(data.summary)%>

<%:data.subtitle%>

<%:data.subtitle%>

#<%:prop.issue%>

<%:~formatDate(prop.online_date, 'YYYY MMM DD')%>

<%:prop.title%>
<%props prop.kols%>
<%:prop.realname%>
<%/props%>
<%if prop.column_id != 0 %> <%/if%> <%if prop.topic_id != 0 %> <%/if%>
社交工程攻擊輪番襲來,企業備戰好了嗎?

ISSUE #040

社交工程攻擊輪番襲來,企業備戰好了嗎?

2022-04-12 10:00:00

Netflix犯罪紀錄片《Tinder 大騙徒》再度讓社交工程(Social Engineering)詐騙的討論浮上檯面。當被攻擊的對象是企業,面對動輒上億元的災損風險,企業準備好了嗎?

#駭客技術日新月異 #數位搶劫可能讓企業倒閉 #資安不能等到痛了才來做

陳卓君

陳卓君 / 副總編輯

採訪寫作

張育寧

張育寧 / 總編輯

審訂

圖片來源 - Pexels

questionquestion

發生什麼事?

戀愛詐騙最常用社交工程伎倆,多是利用潛在受害者的個人資訊,取得受害者信任、操縱受害者與之共享各種財務資訊,甚至是金錢。當社交工程被攻擊的對象,從個人轉移到政府組織、企業,災損超過億元的越來越多,企業也可能因此賠上商譽、失去客戶的信任,甚至倒閉。

  • 社交工程攻擊通常有四步驟:駭客蒐集關於使用者或是所屬企業的資訊,藉以建立信任、進行滲透與攻擊,利用受害者採取駭客所需的行動之後,便斷絕關係。(Kaspersky
  • 根據 Cellopoint 全球反垃圾郵件中心針對企業所做的統計分析,2021 年全球最常見的社交攻擊形式前三名是:Microsoft M365 帳戶密碼更新的郵件;COVID-19 相關詐騙郵件,例如仿冒從世界衛生組織寄來的信件;位居第三的則是 Google Gmail 帳戶密碼更新。前三大的社交攻擊形式中,就有兩個是與常見的網路服務有關。
  • 社交工程駭客擅長利用熱門話題操作攻擊行動,例如從 2021 年 1 到 5 月,台灣共計發生逾 2 萬起疫苗相關攻擊事件,名列全球疫苗相關資安威脅第 15 名。(趨勢科技)。


常見社交工程威脅與挑戰

當企業成了社交工程的受害者,面對的是更大的經濟損失。刑事警察局公布近五年受理的商務電子郵件詐騙(Business Email Compromise, BEC),每年都有超過 100 個案件,且每年遭到詐騙的金額,都在 2 億元以上iThome)。企業面臨的社交工程威脅常見以下途徑:

  • 釣魚攻擊:
    • 史上最有名的網路釣魚事件為駭客假冒台灣業者廣達,向客戶臉書與 Google 成功詐騙了 1.2 億美元。當時來自立陶宛的 Evaldas Rimasauskas 在拉脫維亞註冊了一家與廣達同名的公司,再寄送郵件予當時負責處理大額款項的臉書及 Google 員工,利用偽造合約、發票與公司章,要求將欠款匯至特定的銀行帳戶。(CNBC
  • 實體突破攻擊:
    • 企業防禦社交工程攻擊的弱點不只是技術,攻擊者還會偽裝成某個合法的對象,通過組織的員工獲得系統權限,存取需要授權的區域或資訊、分發惡意軟件、進行欺詐、盜取數據等。(Infosecurity
    • 攻擊管道甚至從電子郵件擴大到人工智慧(AI)語音。一家英國能源公司的執行長誤以為接到德國總部執行長的電話,而被訛詐了 22 萬歐元。(The Wall Street Journal
    • 台灣的銀行,設於洛杉磯的分行曾在 2020 年成為社交工程攻擊的受害者,當時該分行收到往來客戶執行匯款轉帳的電子郵件,員工並未察覺該變更匯款資訊的電子郵件帳號與合法帳號差了一個字母,而匯出了 45 萬美元,之後銀行亦將此一資安事件列為員工疏失。(ETTODAY
  • 水坑攻擊:
    • 近來流行的攻擊手法,駭客先開採熱門網站的安全漏洞,並植入惡意程式,並進而危害造訪該網站的使用者。美國的外交關係協會、美國勞工部及波蘭的銀行都曾淪為水坑攻擊的受害者,成為駭客攻擊使用者的跳板。


企業該如何面對?

  • 對員工展開資安意識訓練服務,進行社交工程演練。
    • 有超過 58% 受訪的台灣企業認為,難以抵禦資安威脅的原因是「員工資安意識不足」,且企業對於自身防護能力的信心只有 62.4分。(iThome
    • 要降低社交工程風險,就是讓員工採取行動以保護企業及系統。這需要培養以安全為中心的企業文化,以便員工採取迴避行動成為員工的第二天性。(Infosecurity
    • 模擬網釣郵件攻擊,寄送多封社交工程郵件至員工信箱,紀錄員工遭騙的比例,對員工進行再教育。
  • 企業不能等「痛了才來做」,資安基礎建設投資不能省。
    • 駭客技術日趨進步,企業的資安防護網靠員工意識提升,要更進一步從資安相關軟體與硬體著手。
    • 對標所處產業中的國際級大廠的資安策略與投資,以因應駭客日新月異的攻擊手法。例如在金融界的領頭羊 JP Morgan,每年在資安防護上的投資達 8 億美元。(Nashville Business Journal
    • 若萬一企業資安防護被突穿,要有相對應的災損壓制措施、防止威脅在企業內部擴散,讓經營風險降到最低。

面對社交工程威脅,企業該如何用有限資源強化防禦陣線?透過以下專家們的分享與建議,一起來了解。

什麼是社交工程 Social Engineering?

社交工程(Social Engineering)是種針對人性的駭客行動,駭客利用了人類的恐懼、好奇、憤怒、罪惡感或激動等情書,而讓潛在的受害者採取非理行或冒險的行動。駭客企圖引誘不知情的使用者外洩資料、散布惡意程式,或者是賦予存取受限系統的權限,相關的攻擊不僅出現在網路上,也可能是面對面或是藉由其它的互動展開。

社交工程駭客

深度專訪

question
近幾年來,全球或臺灣最常見的社交工程攻擊形式為何?
王彥雄

王彥雄

Cellopoint 行銷業務總監

根據 CGAC (Cellopoint 全球反垃圾郵件中心,Cellopoint Global Anti-spam Center)針對企業所做的統計分析,2021 年全球最常見的社交攻擊形式前三名是:Microsoft M365 帳戶密碼更新的郵件占 5.8%、COVID-19 相關詐騙郵件占 3.7%,例如仿冒 WHO(世界衛生組織)的信件,位居第三的則是 Google Gmail 帳戶密碼更新,約占3.6%。前三大的社交攻擊形式中,就有兩個是與常見的網路服務有關。

台灣最常見的社交攻擊形式前三名是:Microsoft M365 或 Exchange 郵箱帳戶密碼更新 6.5%、COVID-19 相關 3.9%、五倍券優惠相關的占 3.2%。

吳明蔚

吳明蔚

奧義智慧科技共同創辦人

商務電子郵件詐騙(Business Email Compromise, BEC)類型還是最多的。例如以電子郵件通知企業,公司戶要異動、需要更新,還附上假的帳戶影本。過去曾經發生過,一名立陶宛的男子假冒台灣的廣達向 Google 和臉書進行 BEC 詐騙,結果騙取逾 1.2 億美元。從刑事警察局公布的相關統計來看,近五年受理的商務電子郵件詐騙中,每年都有超過一百個案件,且每年遭到詐騙的金額,都在兩億元以上。中小企業的會計財務因此上當受騙,損失達百萬元,都是司空見慣的。

question
台灣企業目前對社交工程的意識是否提升?從哪些趨勢上可觀察得到?
吳明蔚

吳明蔚

奧義智慧科技共同創辦人

其實企業對於社交工程都很重視,也都經常演練,但是台灣企業使用成熟工具來演練得比較少,多半是使用自己開發、或是國內廠商所做的演練工具。我們觀察到的是,企業常常在做社交工程演練,但過於頻繁的演練,不見得是好事。究其原因,社交工程演練可以提升員工的資安素養,變成一種常識,但已經有資安意識的人不需要更多的訓練。畢竟駭客的手法已經超過用常識可以預防的程度,其他問題要用科技來解決

王彥雄

王彥雄

Cellopoint 行銷業務總監

過去幾年有觀察到台灣企業對於社交工程的意識有逐漸提升,因為這幾年企業資安事件頻傳,尤其是大企業,即使有很多資安防護投資,仍因資安事件造成金錢損失、企業商譽受挫,電子郵件常是詐騙、釣魚等的突穿點,因此對社交工程的意識提升有所刺激。

台灣企業執行社交工程演練的比例逐年攀升,尤其金融業已列為資安治理必做項目。製造業、傳統產業或中小企業則相對保守,一些客戶要痛到才會開始行動。中小企業通常覺得能省則省,但我們常會提醒企業,該花則花...

question
面對駭客手法推陳出新,在社交工程的技術上有什麼樣的對應措施?
王彥雄

王彥雄

Cellopoint 行銷業務總監

釣魚、勒索、詐騙這三類的郵件底層邏輯都是社交工程,釣魚郵件藏有連結、勒索有惡意程式的附檔、詐騙通稱為 BEC 詐騙,這三種常讓收件者失去防衛心就中了圈套。通常變臉詐騙沒有連結也沒有程式附檔,偵測的難度變高。Cellopoint 利用 AI 技術和機器學習模型來塑模分析,例如讓電腦擁有理解人類語言的能力,就是自然語言處理(Natural Language Processing)做語意分析。駭客用 AI 來詐騙,我們利用 AI 來做反詐騙、偵測詐騙。成效上,可以抓到難度很高的詐騙,同時也要減少誤判。對資安廠商來說,精準才是王道。

吳明蔚

吳明蔚

奧義智慧科技共同創辦人

企業的防護措施提升,類似的駭客手法也會持續升級。舉例來說,有個信件中有著錯誤拼法的連結,但駭客的技術可以做到讓使用者滑鼠滑過去時,看起來變成正確的連結。這牽涉到的是電腦知識的層級,因此若還是只單靠升級員工的社交工程意識,是不可能完全防堵社交工程的

如果駭客已經知道組織人員的詳細情報,甚至能模仿主管寄信給員工,這種程度的威脅就需要用科技解決。而面對這類的威脅,公司的資安措施應該要讓員工即使點了,也不會產生影響。例如當可疑信件進入時,就先過濾檢查,若員工真的點了,也能壓制,不讓損害擴散。

question
企業最常用來測試員工的釣魚郵件內容?
王彥雄

王彥雄

Cellopoint 行銷業務總監

回歸前面所提到的前三大常見社交工程威脅,這些是最常用樣本,另外再結合時事、產業新聞做樣本。例如產業新聞類型的郵件會依企業所處的行業別,來客製相關樣本。另外是企業組織部門相關的樣本,例如人資、財會、物流、產線、MIS 等,甚至是細到依照員工角色來精準客製網釣郵件。這也是因為駭客做網釣時也會做到精準打擊,我們在防禦上也要有相對應的演練。樣本會依照企業的需求作混搭,達到演練的效果。

吳明蔚

吳明蔚

奧義智慧科技共同創辦人

一開始會用一些五花八門的樣本,例如抽獎、聳動的新聞標題、笑話等。到了比較成熟的時期,會使用工作相關的主題,例如仿冒同事寄來的等,這種比較逼真的測試信。

question
企業通常如何加強員工的社交工程意識?挑戰為何?
王彥雄

王彥雄

Cellopoint 行銷業務總監

具規模的企業會有 MIS 部門或資安小組,會宣導公司有做防火牆、防毒等措施,員工就會認為公司有做了資安,反而在社交工程的警覺心就會鬆懈。企業採取的方式有:一、資安宣導:新人訓練時有資安訓練;二、社交工程定期或不定期的演練與測驗;三、演練測驗結果與個人績效考核結合;四、部門團隊競賽與獎勵;五、線上資安宣導與教學影片。

測試結果通常呈現 M 型分布,高階主管與新進員工測試數據最豐富,比較常亂開亂點郵件中的連結,高階主管自我意識強與自我感覺良好,新進員工則教育加測驗後會立即改善。

吳明蔚

吳明蔚

奧義智慧科技共同創辦人

當員工普遍有社交工程認知的情況下,演練類型也變得越刁鑽,但是這也會影響員工的生產力。畢竟員工收到每封信,都要花很多時間去確認、思考到底要不要開信。此外,因為疫情時在家工作的模式,企業的資安防護出現了漏洞,員工家裡的網路沒有公司的防火牆保護,且缺乏資安問題的解決或配套措施,所以造成的損失更大

question
企業如何運用資源做到有效社交工程威脅演練與防禦?
吳明蔚

吳明蔚

奧義智慧科技共同創辦人

社交工程主要環節還是在「人」,但是除了人,其實還有另外四項數位資產也是企業在資安上必須要去照顧的,包括裝置、網路、軟體和資料。而每項數位資產之下又可以細分出五項需處理的資安議題。以「人」為例,不僅是社交工程,還有帳戶盤點、權限管理、異常使用行為、存取政策等四項資安議題。所以一家企業要處理的資安議題至少有 25 種。企業若資源有限,就需要把資安議題的優先順序排出來,把資源花在最重要的議題。

question
企業遭受社交工程攻擊時,如何將受損降到最低?
吳明蔚

吳明蔚

奧義智慧科技共同創辦人

企業可以透過端點部署防護,例如把受到威脅的電腦隔離,或是把這個網段隔離,在事中事後把受損降到最低。

question
對於防範社交工程攻擊,您會給企業什麼樣的忠告?
吳明蔚

吳明蔚

奧義智慧科技共同創辦人

企業必須要體認到,不該把錢省在不該省的地方,要把企業經營風險降低,董事會的支持很重要。舉例來說,今年陸續發生超越歷史紀錄的數位搶劫,先是二月發生區塊鏈的重要橋接「蟲洞」(Wormhole)遭駭客攻擊,損失超過 3.2 億美元,三月下旬又發生 Ronin 橋接被劫相當於 6.15 億美元的加密貨幣,成為 DeFi 史上第一大遭駭事件。過去,實體銀行被搶劫,可能受害的就是這家分行。但現在是數位時代,駭客可以僅靠鍵盤就竊取好幾億美元,而企業可能會因此面臨倒閉風險。現在看來賺錢的企業,很可能因為資安做得不夠扎實,結果駭客入侵,企業一夕之間就沒了。我們要知道,這種數位搶劫的損失金額都是百萬美金起跳。

台灣企業應該多去跟國際同業做對標。台灣的半導體產業在這方面做得非常積極,會在該花錢、該投資的地方與國際大廠做對標。另一個例子是像金融巨擘 JP Morgan 每年花 8 億美金在資安防護的投資上。此外,台灣多數的金融機構也一直持續加大資安投資,以因應遽增的攻擊面與駭客的複雜手法。

對中小企業來說,會請企業主去看同業都是遭受到什麼樣的威脅,企業可以先將資源花在比較常見的威脅防禦上,再去排序資安議題的優先順序

王彥雄

王彥雄

Cellopoint 行銷業務總監

社交工程演練的目的是提升員工的資安意識,是企業的軟實力,在硬實力上,企業需要郵件過濾五層縱深防禦,加上提升員工的資安意識,持續練習,才是最佳實踐方案。

以電子郵件安全的角度來看,傳統的兩層防禦─防垃圾郵件與掃病毒郵件(Anti-spam與Anti-virus)已不足以應付全新威脅,包括釣魚郵件、惡意程式、勒索病毒、社交工程詐騙郵件,不減反增。Cellopoint 過去幾年在市場上宣導,因此需要從兩層防禦進化到五層縱深防禦,才能跟上攻擊方的進步,這是企業 IT 或資安人員需要有的硬實力去建構防禦體系。

但是萬一上述防線被突穿,釣魚勒索詐騙郵直接進到電子郵件信箱,這最後的防線,就要靠員工的安全意識了,所以每次的演練就變成很重要。

在五層縱深防禦下,每天在閘道端都會過濾掉很多釣魚、勒索詐騙等信件,需要進一步去分析被攻擊的對象是誰,例如被詐騙的對象通常是財務或高階主管,要求匯款等。透過關聯威脅攻擊的分析,提供給企業的安全資訊與事件管理(SIEM)平台,進一步做使用者行為分析(UBA),形成電子郵件縱深防禦、員工資安意識提升與資安事件管理聯防的效果。當事件發生時,如何告警、如何進行事件回應及補救。

此次與談人

王彥雄

王彥雄

Cellopoint 行銷業務總監

吳明蔚

吳明蔚

奧義智慧科技共同創辦人

延伸閱讀

2022 年企業最擔心的網路攻擊,社交工程排名第二

世界經濟論壇發布的《2022年全球網路安全展望》指出,企業最擔心的前三大網路攻擊方式為勒索軟體、社交工程,以及惡意內部活動。

World Economic Forum

從攻擊者角度思考,如何防禦網路威脅

要減少社交工程的威脅,企業需要像攻擊者一樣思考,助於組織了解其易受攻擊的位置以及需要採取的措施。

Infosecurity

企業防禦社交工程攻擊的九種最佳方式

除了社交工程相關的員工培訓教育,企業更專注於確保層層控制措施,加強組織的社交工程防禦策略。

eWeek

全面解析 FIDO 網路身分識別—無密碼新時代將至!解決網路密碼遭竊與盜用問題

傳統密碼安全性不足的問題不斷,帳號遭盜用的事件層出不窮...

iThome

時間標記

EPEPISODE # 旭沙龍-張育寧時間

EP #