資訊安全必學-社交工程(Social engineering reloaded)
 

概述：
近幾年來，社交工程(Social engineering)廣泛被駭客用來當作取得資訊的一種手段，不一定要用什麼工具去破解密碼，就直接向對方套話，問出密碼等(最常發生在辦公室)，本篇文章的主旨就是在強調對於社交工程的警覺及教育之重要性。

對於社交工程的介紹，這篇文章的作者首先舉了有關社交工程場景中，他印象最深刻的五部電影：
5.星際終結者(Independence Day)：人類利用外星人舊的太空船進入外星人的母船內上傳病毒。
4.入侵網絡(Hackers)：利用大型垃圾車收集的垃圾中，收集並分析目標公司丟棄的文件，來獲得該公司的金融資料。
3.戰爭遊戲(War Games)：主角藉由研究一台軍用電腦研發者的背景來猜測該電腦的登入密碼。
2.春天不是讀書天(Ferris Bueller's Day Off)：主角利用多通電話及答錄機錄音來偽造他祖母死亡的消息，藉此得到女朋友的原諒。
1.星際大戰(Star Wars)：R2-D2獲得死亡星球上主電腦的存取權，並關掉垃圾處理器(garbage dispensers)救了男女主角。

最後星際大戰的場景中，或許讀者會認為R2-D2的入侵純粹只是技術層面的入侵，並沒有用到社交工程，但作者的解釋是R2-D2偷偷進入主機的房間取得存取點的過程就是社交工程。

上述的場景有些是虛構的，有些卻是真實的場景。若僅對於技術層面的滲透攻擊有防禦的準備，卻對物理及社交的層面毫無防範，將會像上述電影中一樣，導致自己暴露在被攻擊的危險中。

秘密與謊言：網路世界的數位安全(Secrets & Lies: Digital Security in a Networked World)的作者Bruce Schneier曾提到所謂社交工程，全都是由人性方面，也就是利用所謂的”信任”來進行。另一位有名的前駭客Kevin Mitnick，在他所著的一本欺騙的藝術(The Art of Deception)中，進一步的解釋到人類的天性就是很希望能幫助別人，因此也相當容易被欺騙。人類是整個安全環節中最脆弱的一點。而凡是有牽扯到人類因素的任何攻擊都可稱為社交工程。從以往的歷史觀察，駭客的動機可能是為了自我挑戰、誇耀自己的能力、存取敏感資訊、單純的好奇，或有惡意的意圖。在了解到駭客眾多的動機後，我們更應該要保護自己不去做些愚蠢的行為使駭客有機會利用社交工程來攻擊。

接下來介紹攻擊的種類，近幾年來，攻擊的型態趨向針對網頁應用程式，隱藏在網頁中執行的程式或隱藏在電子郵件附件中的惡意程式，都能帶來各種致命的危險，另外網頁瀏覽器的附加工具也能掩飾各種不良的程式。還有分散式阻絕服務(DDos)攻擊使目標無法提供服務。DDos雖然相當常見也相當難應付，但 DDos種類增加的數量卻沒有竊取個人資料攻擊手法增加的種類多。除此之外，散播廣泛的病毒程式能開啟後門，或瀏覽網頁時被安裝間諜程式。VoIP (Voice over Internet Protocol)如果未做認證機制，也容易被攻擊者利用來攻擊。

在使用上述的攻擊技巧前，若做些初步的社交工程，將能使攻擊更有成效。例如說足跡蒐集(Footprinting)，足跡蒐集是一種蒐集資訊的藝術(或稱為pre-hacking)，面對預先決定好的受害主機時，利用足跡蒐集來決定出最佳的攻擊機會，這也是在一個精心設計的一連串攻擊行為中，其中屬於社交工程中最主要的部份。足跡蒐集可以是藉由電話或是假扮身份問些看似無關緊要的問題等各種方法來獲取資訊。網路釣魚(Phishing)是網路上在常見的社交工程，特別是利用email來欺騙，Phishing並不是一個新的攻擊手法，然而發生的頻率卻在過去幾年中逐漸增加。本篇文章中提到eBay、Paypal、以及Citibank是三個最常被利用的目標。舉例來說明Phishing，使用者收到一封標題是Paypal帳戶資訊更新的郵件，其信件內容裡有提供一個仿冒Paypal網頁的連結並要求使用者由此連結登入Paypal網頁去輸入帳號及密碼來更新使用者資訊，這個仿冒網頁便會記錄使用者帳號密碼，接著再將網頁導向真實的Paypal網頁，令使用者在不知不覺中就被盜取了密碼。想知道有關 Phishing的進一步資料，可以參考「Phishing For Savvy Users」這篇文章

對於此類攻擊的最佳對應方法就是在預覽前就刪除所有類似的郵件，如此亦可同時避免會在背景觸發不良程式的惡意郵件攻擊。然而有些使用者會擔心刪除所有類似的郵件會將真實來自eBay、Paypal、或Citibank等公司所發的官方信件刪除，對此本篇文章提供一個方法，由官方網頁登入而不要由郵件所提供的連結登入，從官方網頁去找尋是否有相關的消息。另外還有其它方式，以eBay的例子，eBay最近將寄給使用者的信件中，其標題及內容都有包含使用者的名稱來加強認證性，並且使用者可以登入「my messages」或「my ebay」來驗證這封信件的認證。而Paypal並沒有提供網頁查詢認證這項功能，但使用者可以將信件轉寄至spoof@ebay.com 或 spoof@paypal.com詢問是否為官方信件，並且將能迅速的得到答覆。最後再次強調，還是直接將所有類似的信件通通刪除，才是避免 Phishing的最佳方法。

為了要說明將社交工程教育混合至公司安全計畫的重要性，這篇文章舉了一個例子，一家擁有數十億資產的高科技X公司，花費了百萬元的經費在硬體及安全上，然而X公司所做到的僅是要維護安全資產所需要的所有事項中，最微不足道的部份。

X公司在硬體設備的安全上，包含所有員工使用識別證、將門上鎖、有保全人員、並區分員工的存取門限，然而員工在出入時常常會幫忙保持開門讓其他人能順便出入，並且不會去檢查其識別證的照片及姓名。另外為了讓垃圾車駕駛方便，垃圾裝卸區的門都沒有上鎖。電話的使用有安全的考量，僅允許內部的轉接，並限制只有某些特定的ID才能對外，另外也可以經由上層主管授權後使用SecureID透過VPN做遠端存取，一但SecureID閒置30天未使用，就停用此 SecureID。而整棟大樓的無線網路也有作登入的限制。然而，內部員工使用電話請求服務單位(Help Desk)支援時，雖然員工的號碼有顯示在電話上，但不論是員工或是支援服務單位都沒有再做進一步的認證，利用簡單的偽造來電顯示就能讓攻擊者藉此取得額外資訊。X公司內筆記型電腦的使用很普及，但僅有30%的使用者會用公司提供的鋼索鎖住筆記型電腦。X公司在硬體上還有其他安全政策，例如提醒員工不要在遠端硬碟上存放機密資訊，資訊安全部門限制員工電腦的管理者權限，使員工無法安裝不良的程式，同時要求員工電腦的密碼設定符合安全的條件。並且每週執行病毒掃描。

在軟體方面的安全政策，螢幕保護程式要求用密碼保護，大部分的電腦有上網的功能，但有擋掉某些特定網站，密碼也被設定不會存在瀏覽器內。然而實際上螢幕保護程式卻時常未上鎖，網頁信箱也不是經常安全的，此外，X公司內部過量的使用即時通訊軟體，還有公司未對新進員工作標準的教育訓練，這些都使的X公司面臨許多潛在的安全威脅。

所以X公司若要預防社交工程的攻擊，在技術方面，首先至少要安裝垃圾信件過濾器、持續更新軟體修補程式、對於Email及網頁的存取要使用加密的機制、並且禁止儲存密碼於瀏覽器內，接下來要發展事件回報及追蹤的機制，能夠有效的威嚇入侵者。

平時要加強對員工的教育訓練，訓練新進員工，並且定期再教育舊有員工，同時張貼一些有趣的安全常識小提示，甚至利用有警語標籤的t-shirts或器材，使整個教育過程活潑生動，也能使員工比較容易警覺到一些社交工程的企圖。

本篇文章最後提到，一個公司的安全政策應該訂定明確且範圍要廣泛，包含各種層面的安全考量，例如資訊敏感性、密碼保護、道德規範、存取權、郵件、資料庫安全、認證、外部網路使用規定、VPN安全性及伺服器安全性等等。公司在執行安全政策時也要考慮金融以及人力資源，另外安全的教育與訓練也是不可或缺的。至於個人方面，必須對會面臨的風險有警覺性，同時也要小心社交工程，不要疏忽大意。永遠記得，人類是安全環節上最脆弱的一節，以及 Mitnick所寫的「不要輕易受騙」！。