發生什麼事?
戀愛詐騙最常用社交工程伎倆,多是利用潛在受害者的個人資訊,取得受害者信任、操縱受害者與之共享各種財務資訊,甚至是金錢。當社交工程被攻擊的對象,從個人轉移到政府組織、企業,災損超過億元的越來越多,企業也可能因此賠上商譽、失去客戶的信任,甚至倒閉。
- 社交工程攻擊通常有四步驟:駭客蒐集關於使用者或是所屬企業的資訊,藉以建立信任、進行滲透與攻擊,利用受害者採取駭客所需的行動之後,便斷絕關係。(Kaspersky)
- 根據 Cellopoint 全球反垃圾郵件中心針對企業所做的統計分析,2021 年全球最常見的社交攻擊形式前三名是:Microsoft M365 帳戶密碼更新的郵件;COVID-19 相關詐騙郵件,例如仿冒從世界衛生組織寄來的信件;位居第三的則是 Google Gmail 帳戶密碼更新。前三大的社交攻擊形式中,就有兩個是與常見的網路服務有關。
- 社交工程駭客擅長利用熱門話題操作攻擊行動,例如從 2021 年 1 到 5 月,台灣共計發生逾 2 萬起疫苗相關攻擊事件,名列全球疫苗相關資安威脅第 15 名。(趨勢科技)。
常見社交工程威脅與挑戰
當企業成了社交工程的受害者,面對的是更大的經濟損失。刑事警察局公布近五年受理的商務電子郵件詐騙(Business Email Compromise, BEC),每年都有超過 100 個案件,且每年遭到詐騙的金額,都在 2 億元以上(iThome)。企業面臨的社交工程威脅常見以下途徑:
- 釣魚攻擊:
- 史上最有名的網路釣魚事件為駭客假冒台灣業者廣達,向客戶臉書與 Google 成功詐騙了 1.2 億美元。當時來自立陶宛的 Evaldas Rimasauskas 在拉脫維亞註冊了一家與廣達同名的公司,再寄送郵件予當時負責處理大額款項的臉書及 Google 員工,利用偽造合約、發票與公司章,要求將欠款匯至特定的銀行帳戶。(CNBC)
- 實體突破攻擊:
- 企業防禦社交工程攻擊的弱點不只是技術,攻擊者還會偽裝成某個合法的對象,通過組織的員工獲得系統權限,存取需要授權的區域或資訊、分發惡意軟件、進行欺詐、盜取數據等。(Infosecurity)
- 攻擊管道甚至從電子郵件擴大到人工智慧(AI)語音。一家英國能源公司的執行長誤以為接到德國總部執行長的電話,而被訛詐了 22 萬歐元。(The Wall Street Journal)
- 台灣的銀行,設於洛杉磯的分行曾在 2020 年成為社交工程攻擊的受害者,當時該分行收到往來客戶執行匯款轉帳的電子郵件,員工並未察覺該變更匯款資訊的電子郵件帳號與合法帳號差了一個字母,而匯出了 45 萬美元,之後銀行亦將此一資安事件列為員工疏失。(ETTODAY)
- 水坑攻擊:
- 近來流行的攻擊手法,駭客先開採熱門網站的安全漏洞,並植入惡意程式,並進而危害造訪該網站的使用者。美國的外交關係協會、美國勞工部及波蘭的銀行都曾淪為水坑攻擊的受害者,成為駭客攻擊使用者的跳板。
企業該如何面對?
- 對員工展開資安意識訓練服務,進行社交工程演練。
- 有超過 58% 受訪的台灣企業認為,難以抵禦資安威脅的原因是「員工資安意識不足」,且企業對於自身防護能力的信心只有 62.4分。(iThome)
- 要降低社交工程風險,就是讓員工採取行動以保護企業及系統。這需要培養以安全為中心的企業文化,以便員工採取迴避行動成為員工的第二天性。(Infosecurity)
- 模擬網釣郵件攻擊,寄送多封社交工程郵件至員工信箱,紀錄員工遭騙的比例,對員工進行再教育。
- 企業不能等「痛了才來做」,資安基礎建設投資不能省。
- 駭客技術日趨進步,企業的資安防護網靠員工意識提升,要更進一步從資安相關軟體與硬體著手。
- 對標所處產業中的國際級大廠的資安策略與投資,以因應駭客日新月異的攻擊手法。例如在金融界的領頭羊 JP Morgan,每年在資安防護上的投資達 8 億美元。(Nashville Business Journal)
- 若萬一企業資安防護被突穿,要有相對應的災損壓制措施、防止威脅在企業內部擴散,讓經營風險降到最低。
面對社交工程威脅,企業該如何用有限資源強化防禦陣線?透過以下專家們的分享與建議,一起來了解。
