社交工程與網路安全

隨著網際網路的普及,網路安全事件也層出不窮,網路攻擊(cyber attack)或被駭(hacking)事件發生的次數似乎已經多到司空見慣的場景。可能今日某個入口網站被攻擊、明日某個銀行伺服器被侵入。網路管理者或媒體常以網路被駭或網路攻擊簡述此類網路資安事件。但網路攻擊未必需要侵入系統,大量系統被駭情況也未必是網路攻擊。

“Hack”這個單字源自於敘述”撰寫部分程式碼”。早期電腦資源十分有限,記憶體只能容納有限程式碼。為了讓程式執行更有效率,往往需要軟體人員精細地修改程式碼,讓程式碼可以在有限的系統資源下執行,駭客(hackers)意指這類軟體人員。因此早期”hackers”一詞某種程度代表對此類軟體人員的肯定。很不幸地目前”hacking”被廣泛應用於網路攻擊或是網路犯罪行為。

駭客主義者(hacktivism)意指在未獲許可情況下侵入電腦系統執行某種行為來達到特定政治目的。分散式阻斷攻擊DDoS (Distributed Denial of Service)是常見的駭客主義者網路攻擊行為。政府網站、大型網路公司如Google或Apple網站常常是此類攻擊目標。分散式阻斷攻擊常利用網域名稱伺服器DNS (Domain Name System)或網域名稱註冊服務來放大訊務及間接攻擊目標系統。

很多人以為網路攻擊皆由駭客所發動與執行,但事實上並非如此。啟動網路攻擊的軟體往往很簡易,攻擊軟體並非啟動網路攻擊重要的元件。特定作業系統的弱點才是啟動網路攻擊的關鍵要素。現存很多正式或非正式管道很容易取得特定作業系統的弱點,更甚者滲透作業系統的軟體工具都可在開放原始碼資料庫中取得。有心製造網路攻擊者只要收集需要工具、掃描尚未更新作業系統弱點的系統清單,其餘工作只剩下設定啟動網路攻擊的時間。

除了上述情境外,尚有許多攻擊模式與網路安全技術完全無關。例如打電話給客服中心,說服客服人員提供目標帳號名稱與密碼,犯罪者即可容易達到帳號入侵的目的。這種說服技巧稱為社交工程(social engineering)技術。

社交工程是一種非技術入侵的方法,意圖犯罪者追蹤目標對象人際互動關係、與其網路社群的連結關係,找出生活或工作流程中可能存在的安全漏洞,利用安全漏洞達到入侵系統的目的。事實上企業或組織目前網路安全最大威脅是來自社交工程。社交工程逐漸成為網路安全重要的元件。意圖犯罪者利用社交技巧說服收信人下載含病毒的郵件附件、釣魚網站說服使用者洩漏敏感個人資料、惡意軟體廠商鼓勵使用者安裝其軟體等。這些方式都屬於社交工程技術,與網路安全技術無關。

2015年四月著名的電動汽車廠商Tesla汽車,其官方網站與官方Twitter帳號發布信息,邀請用戶與愛好者提供個人相關資料,提供資料者有機會獲得Tesla汽車一部。許多Tesla用戶或愛好者紛紛提供個人資料。此資安事件事後經過調查發現,入侵者只是打電話到Tesla汽車網路服務供應商AT&T客服中心,利用社交工程技巧取得Tesla 主機代管(webhosting)的帳號與密碼,犯罪者再利用這些資料執行後續犯罪行為。

不同形式的網路犯罪行為讓網路犯罪日益複雜,瞭解網路犯罪的類型也越來越重要。一旦網安事件產生,第一線處理人員必須能夠判斷該事件應該通報電腦緊急應變處理中心CERT(Computer Emergency Response Team)或是應該通知政府相關執法單位。舉例而言,如果犯罪者採取社交工程入侵系統,這種情形下,立即取得電話通聯記錄或網路通信對話記錄比起收集電腦或軟體軌跡資料更加重要。如果方向錯誤,不僅錯失第一時間收集重要事證的機會、延誤後續處理與回復的時間,對於投入的人力資源與時間更是莫大的浪費。我們不能預期意圖犯罪者採取哪種方式滲透及破壞企業或組織的安全防護機制,但是可以確定的是,社交工程的防衛措施將是網路安全不可或缺的一環。