第0035期•2015.12.20 發行
ISSN 2077-8813

首頁 > 專題報導

淺談社交工程與APT攻擊

作者:陳淑萍 / 臺灣大學計算機及資訊網路中心程式設計組幹事

現今流行的駭客攻擊是如詐騙電話般不會讓您察覺它的目的與動作,採用長久戰、間諜滲透戰的方式,透過長時間的潛伏期默默尋找最佳時間出手,或者是根本不傷害您的裝置,只是秘密將個人資料傳輸出去,這究竟是怎麼一回事呢?

前言
如果您對於駭客攻擊的觀念還停留在用檔案、隨身碟散佈電腦病毒,當執行中毒檔案後立即發作、格式化硬碟之類的傳統病灶,那您就落伍囉!現今流行的駭客攻擊是採用如詐騙集團的手法,看準人性弱點、人際交往關係誘拐您打開含有惡意程式的網站、檔案及電子郵件,如同詐騙電話一般,心甘情願讓歹徒入侵到個人生活中,進而再採用長久戰、間諜滲透戰的方式,透過長時間的潛伏期尋找最佳時間出手,抑或是盜取您寶貴的個人資料進行變賣與偽造。現在就讓我們如同內政部警政署165反詐騙宣導般,帶您探討什麼是社交工程(Social Engineering)與進階持續性滲透攻擊(Advanced Persistent Threat),到底該怎樣才能避免上當呢?

社交工程與進階持續性滲透攻擊的關係
進階持續性滲透攻擊是近年來熱門的資訊安全詞彙,每當有重大資安事件發生就會被拿出來加以報導與檢討。進階持續性滲透攻擊通常口語化稱為「APT攻擊」:A(Advanced)意指精心策畫進階攻擊手法、P(Persistent)則是指長期且持續性的潛伏。APT 攻擊特色在於低調且緩慢,利用各種複雜的工具與手法,相當有耐心的逐步掌握目標的人、事、物,不動聲色地引誘受害者上當,進而竊取其鎖定的資料;而與社交工程密不可分的原因在於,通常駭客利用特製的釣魚網站、社交程式或電子郵件當作攻擊的進入點,所以社交工程可以稱作是APT攻擊的甜美誘餌。
傳統社交工程陷阱,通常是利用大眾疏於防範的小詭計,讓受害者掉入陷阱,以交談、欺騙、假冒或口語用字等方式,套取秘密、個資或財務,如同早期利用人性弱點的金光黨,藉由電話、假扮身分、好奇心及貪念獲取所需資訊,而現今高科技更是大幅降低詐騙成本,最常見就是透過電子郵件夾帶惡意程式檔案或惡意網址超連結進行攻擊,假冒寄件者並使用與受害者相關或令人感興趣的郵件來引誘,加入目前備受矚目的重大事件與新聞,如:政治、運動、娛樂、勁爆八卦性質,或者是假冒日常活動外表,如:工作所需內容、線上理財、投資、帳單管理及購物到貨通知等,大大降低受害者防備心,增加上鉤機率。
通常暗藏惡意程式檔案並不是我們平常對於病毒認識的概念中該提防的 EXE檔、COM檔及BAT檔等,而是ZIP壓縮檔、PDF檔、Office文件檔案都有可能,曾經有位主管經貿的政府機關職員收到信件主旨、附件PDF檔為「檢附美國今日商情新聞資訊」郵件,主題與自己工作息息相關,點開之後也真的會有一個看似正常的文件檔案被開啟,然而在此時此刻,惡意程式也就安裝進電腦裡了。

探討APT攻擊
接下來我們再來深入探討APT攻擊,承接上述,既然社交工程是容易讓受害者上當的手法,加上常見掃毒軟體通常只針對已知病毒或黑名單有效,所以傳統的防護防禦技術通常無法阻擋這類先進攻擊。根據Wikipedia的共同創作說法,APT攻擊必須同時具備以下三個條件:
 1. 進階(Advanced):APT攻擊除了使用傳統的駭客技術外,還需要針對受害目標的特性研擬不同的攻擊手法,客製化一些專屬工具、文章或網站來達成目的,所以僅會以共同性工具進行攻擊的駭客並無法滿足進階這個條件。
 2. 持續(Persistent):與過去傳統病毒的快速與破壞性攻擊發作特性不同,APT攻擊通常是緩慢且低調的,潛伏的時間甚至可以長達數個月或一年以上。藉由長時間的潛伏,慢慢地將受害者環境探索地一清二楚,進而有效突破各階層的防禦,也讓受害者難以察覺,不知不覺之中已病入膏肓。
 3. 攻擊(Threat):跟以往亂槍打鳥、撒魚網式的駭客攻擊不同,APT攻擊是以選擇性撈魚的概念,由一個具組織性的攻擊團隊所發起,攻擊目標明確且攻擊手法客製化。
駭客一旦鎖定了目標,就會無所不用其極的攻擊,而且是持久戰的消耗;使用的手法都極為輕巧,讓受害者很難察覺自己被攻擊,APT攻擊常見的方式有三種:
 1. 盜版網站:吸引您點進去客製化崁入有惡意程式的盜版網站,標題通常是聳動吸引人的,或者是偽裝成與正牌網站相同的樣式。
 2. 惡意社交電子郵件:是 APT 攻擊型態中最常見的手法,駭客會分析您的背景和社交取向,量身訂做看起來就是要寄給您的郵件及附檔,但檔案中暗藏惡意程式,根據統計,91%的APT攻擊是用惡意社交電子郵件作為進入點。
 3. 水坑式攻擊:駭客避開網路環境防禦機制,直接埋伏惡意程式在您常去的網站等待您執行進而受控制。

APT攻擊案例
在APT攻擊這個名詞尚未被創造出來之前,這類的攻擊早已存在多年,攻擊目的主要著重在政治立場不同,或者是存在高度商業價值對象,所以目標時常鎖定政府機關和知名大企業。
過去攻擊者常以孤軍奮戰的個體戶駭客為主;但隨著時代演變,目前APT攻擊的規模已經逐漸擴大到集團方式經營。在台灣政府機關及企業遭APT攻擊時有所聞。其實最早在1999年發表兩國論後,即據傳中國大陸網軍大規模發動攻勢,行政院、國安局、監察院等政府網站均被植入惡意程式;而2003年8月威盛電子、中華電信、警政署、中選會等約90個政府機關和企業電腦也陸續傳出遭入侵災情。由此可證,APT攻擊在台灣應該已存在十年以上,只要沒有有效的防堵機制出現,國人將持續處於危險當中。
台灣最近代表性的APT攻擊事件應屬2013年5月初,行政院資通安全辦公室主動偵測發現公文電子交換網路系統(e-Client)遭駭客以有組織、有計畫的入侵,該系統主要提供我國中央與地方政府機關間公文交換作業,因此負責眾多公務機關間的公文書往來,此次遭駭客入侵引發外界對我國機密公文外洩的疑慮,但是行政院強調機密公文不會透過公文電子交換系統,故沒有機密資料外洩的疑慮,但其攻擊手法複雜與精密程度為過去罕見,推測應為駭客長期埋伏後行事。該資安事件發生後全國各機關皆大動作重新升級公文系統及設定更嚴謹之防火牆規則,以降低日後遭類似攻擊的機會。
而近年來,全球最轟動的APT攻擊事件莫過於2013 年 3 月 20 日的「南韓320 事件」,當天下午南韓眾多銀行、保險公司及電視台企業內部電腦無預警大當機、網路凍結,造成業務運作嚴重中斷,估計約五萬台電腦、數千台ATM提款機受創。駭客入侵企業使用者常瀏覽的網站,利用ActiveX漏洞植入惡意程式,一旦使用者瀏覽該網站,電腦就被植入惡意程式,受感染的使用者電腦接連發動一波又一波的交互感染,不斷擴大攻擊勢力範圍,據傳當年年初Evernote、Twitter、Facebook、Apple 以及 Microsoft 等知名科技公司亦遭受類似APT攻擊。「南韓320事件」影響了南韓三大銀行、三大電視台營運。如此龐大的感染範圍,已非個體戶駭客可以完成,所以可見APT攻擊需要經過縝密的規劃、龐大的後勤系統,商業利益的多寡已經會引導資訊技術的演進及走向。

結語
社交工程與APT攻擊並不會在短期內退燒,這類的資安事件絕對會更加氾濫、更有組織,攻擊手法也必定推陳出新;國外的研究資料顯示,現在透過手機進行商業活動的比例已經逐年上升,社交工程的觸角更從傳統的個人電腦慢慢轉移到行動裝置,加上雲端檔案分享工具的普及,對資安防護無疑是個更大的挑戰,只要有暴利可圖,APT攻擊這類邪惡的科技產業就會蓬勃發展,身處危機當中的現代您我應當小心提防,以下的資安真相更需謹記在心:
 1. 收起您的好奇心,不任意接受與自身無高度相關的資訊。
 2. 加強密碼及敏感的資安意識,能防止大部分駭客攻擊。
 3. 再好的軟體也有安全性漏洞,故定期更新有助於安全性提升。
 4. 雲端服務並非絕對安全,新穎裝置也不代表是安全的。
資訊安全的問題其實並不可怕,真正可怕的是當您身處危險環境下,卻自以為安全可以高枕無憂。之所謂「道高一尺魔高一丈」,世界上其實沒有不安全的系統,只有不安全的人。最後,送給大家一句話:「資訊安全不是您我的責任;而是每個人的責任」!