恶意电子邮件骗术,社交工程破解有诀窍
ASRC 研究中心主任 高铭钟

用户没有下载不明或非法软件,也没有使用外接装置,几乎都遵守IT人员建议的规范,并处于防火墙、防毒机制的保护之下,为什么还是遭到感染与入侵!? 上述问题多半由恶意电子邮件而来。

恶意电子邮件攻击的对象可分为非特定对象及特定对象:非特定对象的攻击常见于一般的病毒、蠕虫邮件。这类邮件的散布面广,没有特定攻击对象,以增加攻击母体的总数来提高攻击成功的机率,因此其内容多半是较制式的,用以欺骗戒心较低的被攻击者;特定对象的攻击,指的是此类恶意电子邮件是刻意制造,用以攻击特有对象的攻击邮件,在此类邮件攻击的前期,通常都会先调查被攻击对象的习惯、使用的防病毒软件…等数据,再特别打造出容易突破被攻击者防护机制,且易取信于被攻击者的攻击邮件。

郵件難自動執行攻擊

除了极少的恶意邮件,可利用剖析邮件机制的漏洞直接入侵外,碍于电子邮件本体难以实现自动执行恶意程序的先天限制,不论是非特定或特定对象的攻击,都需要通过社交工程的手段 ─ 「欺骗」被攻击者,并令其配合整体的攻击实现。

不同于一般的入侵攻击,通过恶意电子邮件发动的攻击其目标并非系统或机器,而是人。这样的攻击并不需要高深的信息安全技术,若再藉已存在的恶意软件做攻击,其攻击难度及成本都会比直接攻击系统或机器来得简单与低廉。

一般发动的攻击主要希望被攻击者配合的不外乎:

  1. 执行恶意附件:
    这类攻击邮件多半夹有一个恶意可执行文件、压缩文件,或者加过密码的压缩文件,通常会伪装成订单数据、照片、或传真等重要文件,诱骗被攻击者执行恶意附件。
  2. 点击恶意超链接:
    这类攻击邮件多半小,没有附件,其中带有一个恶意连结连往一个钓鱼网站,或是网络驱动器空间,企图诱骗被攻击者提供个人敏感数据或下载恶意档案并执行。
  3. 反馈个人敏感数据:
    这类攻击邮件多半小,没有附件也没有超链接,纯粹在邮件中以文字的方式要求回传账号密码或汇款等事项。

诱使主动配合攻击

被攻击者通常会受骗的原因,除了好奇之外,多半是此类攻击邮件具备三个主要的要素:

  1. 被攻击者能轻易读懂内容:
    英文语系的攻击邮件攻击非英文语系的区域,不容易成功,因被攻击者不习惯使用该语言,若生活中与人互动并没有使用英文,类攻击邮件多半会被直接忽略。
  2. 所提及的事与自己相关,可能略带紧急:
    若攻击邮件的内容及所声称的事无关或不重要,多半被攻击者也不会理会。
  3. 没有适当的辅助识别的知识及工具:
    若攻击邮件可以被防毒、反垃圾信机制识别,并特别提醒收件人,收件人的警觉心会提高;或者被攻击者的计算机没有隐藏扩展名,且本身对于邮件中的可执行文件有警觉性也不容易被攻击成功。

恶意电子邮件发动的攻击其目标是人,但这并不意味设备或架构的防护措施不重要。信息安全的机制诸如垃圾邮件过滤、防毒扮演的角色为降低被攻击者与攻击邮件的接触,或者提供额外的识别信息供被攻击者参考。但需要特别留意的是,由于恶意邮件的攻击方式、内容是会不停变化的,尤其针对性的攻击,因此难以通过邮件过滤机制达到实时百分之百的防范。且如前述,恶意邮件攻击的目标是人,因此落实正确的信息安全认知,便显得十分重要。

突破信息安全教育盲点

谈到信息安全认知,相信多数企业单位在内部都不乏教育训练及宣传,但教育的效果,常不如预期,我们在此列举出几个容易导致信息安全训练无效的问题:

  1. 信息安全是信息部门的事:
    除了信息部门的成员外,其它成员并不认为或不能感受到信息安全与自身的相关性、重要性,因此信息安全教育训练容易轮为虚应故事或短期工作,而不能成为一个日常作业的习惯。
  2. 传达的信息安全观念与环境不能配合:
    传统的信息安全观念可能会提及,若有不明的.exe可执行文件,则需避免执行,但Windows操作系统默认是隐藏执行文件的,因此这样的观念却没有相应的可识别扩展名的环境配合,这就成了信息安全观念传递与执行之间的盲点。
  3. 「禁止」与「应如何」:
    常见的信息安全教育训练多半是由「禁止」的观点来教育内部人员如何避免信息安全风险,例如:「禁止」使用简单密码、「禁止」开启不明邮件;但社交工程邮件有时难分真假,「应如何」进一步确认?密码不能使用简单密码,「应如何」设置一个安全又能被记忆的密码,从内部人员观点出发,在信息安全的教育训练设计中较容易被忽视。
  4. 教育训练成果量测:
    信息安全训练完成后,对训练成果疏于量测也是容易导致信息安全训练无效的原因之一。教育训练成果如何,可通过合理的考试、问答或于企业内部举办相关演练进行确认及改善。

社交工程并不是一个新的概念,在过去,这样的手法也被应用于人的直接互动、电话…等各种沟通的管道,电子邮件亦是沟通管道的一种,使用这样的方法可以降低入侵技术层面的门坎与成本。社交工程手法所利用的,多半是被害人的疏忽、惯性、贪念与恐惧,以达成其目的,因此,人的认知与训练是防护电子邮件社交攻击最重要的手段,但并非唯一手段,仍须辅以其它过滤识别技术搭配,才能达到事半功倍的效果。

回到列表