惡意電子郵件騙術,社交工程破解有訣竅
ASRC 研究中心主任 高銘鍾

使用者沒有下載不明或非法軟體,也沒有使用外接裝置,幾乎都遵守IT人員建議的規範,並處於防火牆、防毒機制的保護之下,為什麼還是遭到感染與入侵!? 上述問題多半由惡意電子郵件而來。

惡意電子郵件攻擊的對象可分為非特定對象及特定對象:非特定對象的攻擊常見於一般的病毒、蠕蟲郵件。這類郵件的散佈面廣,沒有特定攻擊對象,以增加攻擊母體的總數來提高攻擊成功的機率,因此其內容多半是較制式的,用以欺騙戒心較低的被攻擊者;特定對象的攻擊,指的是此類惡意電子郵件是刻意製造,用以攻擊特有對象的攻擊郵件,在此類郵件攻擊的前期,通常都會先調查被攻擊對象的習慣、使用的防毒軟體…等資料,再特別打造出容易突破被攻擊者防護機制,且易取信於被攻擊者的攻擊郵件。

郵件難自動執行攻擊

除了極少的惡意郵件,可利用剖析郵件機制的漏洞直接入侵外,礙於電子郵件本體難以實現自動執行惡意程序的先天限制,不論是非特定或特定對象的攻擊,都需要透過社交工程的手段 ─ 「欺騙」被攻擊者,並令其配合整體的攻擊實現。

不同於一般的入侵攻擊,透過惡意電子郵件發動的攻擊其目標並非系統或機器,而是人。這樣的攻擊並不需要高深的資安技術,若再藉已存在的惡意程式做攻擊,其攻擊難度及成本都會比直接攻擊系統或機器來得簡單與低廉。

一般發動的攻擊主要希望被攻擊者配合的不外乎:

  1. 執行惡意附件檔:
    這類攻擊郵件多半夾有一個惡意執行檔、壓縮檔,或者加過密碼的壓縮檔,通常會佯稱此為訂單資料、照片、或傳真等重要文件,誘騙被攻擊者執行惡意附件檔。
  2. 點擊惡意超連結:
    這類攻擊郵件多半小,沒有附件檔,其中帶有一個惡意連結連往一個釣魚網站,或是網路磁碟空間,企圖誘騙被攻擊者提供個人機敏資料或下載惡意檔案並執行。
  3. 回報個人機敏資料:
    這類攻擊郵件多半小,沒有附件檔也沒有超連結,純粹在信中以文字的方式要求回傳帳號密碼或匯款等事項。

誘使主動配合攻擊

被攻擊者通常會受騙的原因,除了好奇之外,多半是此類攻擊郵件具備三個主要的要素:

  1. 被攻擊者能輕易讀懂內容:
    英文語系的攻擊郵件攻擊非英文語系的區域,不容易成功,因被攻擊者不習慣使用該語言,若生活中與人互動並沒有使用英文,類攻擊郵件多半會被直接忽略。
  2. 所提及的事與自己相關,可能略帶緊急:
    若攻擊郵件的內容及所聲稱的事無關或不重要,多半被攻擊者也不會理會。
  3. 沒有適當的輔助識別的知識及工具:
    若攻擊郵件可以被防毒、反垃圾信機制識別,並特別提醒收信人,收信人的警覺心會提高;或者被攻擊者的電腦沒有隱藏副檔名,且本身對於郵件中的可執行檔有警覺性也不容易被攻擊成功。

惡意電子郵件發動的攻擊其目標是人,但這並不意味設備或架構的防護措施不重要。資訊安全的機制諸如垃圾郵件過濾、防毒扮演的角色為降低被攻擊者與攻擊郵件的接觸,或者提供額外的識別資訊供被攻擊者參考。但需要特別留意的是,由於惡意郵件的攻擊方式、內容是會不停變化的,尤其針對性的攻擊,因此難以透過郵件過濾機制達到即時百分之百的防範。且如前述,惡意郵件攻擊的目標是人,因此落實正確的資安認知,便顯得十分重要。

突破資安教育盲點

談到資安認知,相信多數企業單位在內部都不乏教育訓練及宣傳,但教育的效果,常不如預期,我們在此列舉出幾個容易導致資安訓練無效的問題:

  1. 資安是資訊部門的事:
    除了資訊部門的成員外,其它成員並不認為或不能感受到資訊安全與自身的相關性、重要性,因此資安教育訓練容易輪為虛應故事或短期工作,而不能成為一個日常作業的習慣。
  2. 傳達的資安觀念與環境不能配合:
    傳統的資安觀念可能會提及,若有不明的.exe執行檔,則需避免執行,但Windows作業系統預設是隱藏執行檔的,因此這樣的觀念卻沒有相應的可識別副檔名的環境配合,這就成了資安觀念傳遞與執行之間的盲點。
  3. 「禁止」與「應如何」:
    常見的資安教育訓練多半是由「禁止」的觀點來教育內部人員如何避免資安風險,例如:「禁止」使用簡單密碼、「禁止」開啟不明郵件;但社交工程郵件有時難分真假,「應如何」進一步確認?密碼不能使用簡單密碼,「應如何」設定一個安全又能被記憶的密碼,從內部人員觀點出發,在資安的教育訓練設計中較容易被忽視。
  4. 教育訓練成果量測:
    資安訓練完成後,對訓練成果疏於量測也是容易導致資安訓練無效的原因之一。教育訓練成果如何,可透過合理的考試、問答或於企業內部舉辦相關演練進行確認及改善。

社交工程並不是一個新的概念,在過去,這樣的手法也被應用於人的直接互動、電話…等各種溝通的管道,電子郵件亦是溝通管道的一種,使用這樣的方法可以降低入侵技術層面的門檻與成本。社交工程手法所利用的,多半是被害人的疏忽、慣性、貪念與恐懼,以達成其目的,因此,人的認知與訓練是防護電子郵件社交攻擊最重要的手段,但並非唯一手段,仍須輔以其它過濾識別技術搭配,才能達到事半功倍的效果。

回到列表