|
资
讯安全小贴士 |
||
|
0 张相片 |
||
|
在社交工程攻击事件中,骗徒常自称为「获授权人士」。因为这种身份可减少对方的警觉性,而且相比起冒认亲戚朋友等,亦较难核实身份。曾有测试人员尝试联络 十二名员工,以网络管理员的身份询问他们登入系统的名称和密码,其中九人在没有拒绝的情况下,提供了自己的登入名称和密码。 大家可从以下例子,得知入侵者如何利用「社交工程攻击」入侵他人电脑。 史提夫计划入侵一间在网上很少留下痕迹的公司。搜寻后,他发现一名高层人员在一个网上邮票讨论区中,使用了公司的电邮地址来登记,以及表示对生肖年代的邮 票有兴趣。史提夫因此登记了一个名称与集邮有关的网址,然后在网上收集一批生肖年代邮票的照片,以制作一个疑似「集邮者」的简单网站。之后史提夫发电邮给 那名公司高层,内容指刚去世的祖父,留下了一批生肖年代的邮票,知道他有兴趣,所以打算出让给他。电邮更写了先前登记的集邮网址,让他可看看那些「珍 藏」。 在发出电邮前,史提夫为了令该高层人士相信,便根据他在网上留下的公司电话号码联络对方,令对方更相信电邮的真实性。当那高层人士收到电邮,便毫无防备开 启那个网址连结。史提夫在那个网站加入了一个恶意框架,攻击浏览器未作修补的漏洞,当那名人士开启网站连结时,史提夫便控制了他的电脑。 大家可能会觉得那个电邮和普通的垃圾电邮一样,自己没有理由会像那高层一般,乱按陌生人发来的连结。但分别是入侵者透过事前在社交网站所收集的资料,了解 目标人物,投其所好,让电邮的内容看来变得很「真实」,变得顺理成章,才令这次攻击成功。 看完以上故事,大家可能会问,史提夫为甚么要建立一个网站,而不在电邮或连结上「做手脚」呢?因为有些网络保安软件可以直接侦测到电邮或连结的恶意程式。 予以封杀,而对方也可先在搜寻器上找寻该网址的内容,以减低警觉性。所以,入侵者除运用电脑的技术外,「社交工程」也不可缺少。 我们应注意以下事项: (一)切勿使用工作上的电邮地址作私人用途; (二)切勿轻信网上认识的人; (三)电脑软件要不断更新,电脑必须使用正版软件,才可以让电脑获得最新的更新; (四)切勿张贴一些可能供其他网站(例如银行网站)核实身分的个人资料。虽然这些资料可能看似无关重要,但歹徒可收集这些资料,以假冒你本人登入网站,取 阅你的敏感资料。 作为警队的成员,我们的警觉性相对较高。但我们的家人或朋友,警觉性和普遍市民一般。我们除了自己提高警觉外,亦应和家人朋友多作有关讨论,以提升大家防 范「社交工程攻击」的意识。下次将会讨论另一个案。
|
||
| <<返回特 写>> <<返回页顶>> |