計資中心電子報C&INC E-paper

作者：邵喻美 / 臺灣大學計算機及資訊網路中心網路組程式設計師

---

從電話詐騙到冒名郵件，利用人際關係社交工程的詐騙行為不是新花樣，但其攻擊手法卻層出不窮步步翻新。政府單位、企業組織、學術機構都著力於對內部人員加強宣導及訓練，就是希望避免因一時疏忽誤上社交工程手法的當，導致組織資訊安全的缺口。本文透過分享近來校園進行的社交工程演練與實際案例，一探社交工程攻擊手法。

 

社交工程（Social Engineering）

        「社交工程」泛指各種基於私人或公務人際關係，衍伸出操弄此種利用階級或情緒互動，騙取受害人信任而達到其詐騙目的的攻擊手法。一旦詐騙者取得受害人信任，誤信信件內容，很可能就被騙取提供重要個人資訊，或因開啟附件、點選連結導致危害個人電腦甚至造成組織網路的漏洞。此種社交工程手法，從生活周遭發生的電話詐騙，到網際網路的冒名信件都屢見不鮮，每每造成企業、組織、及個人在財務或安全上的實質損失，國內外皆然。

 

社交工程演練 -- Practice makes perfect

        為提高組織內部員工警覺性以降低社交工程風險，各公私立機關企業，尤其是處理敏感資料或高度依賴數位系統的機構，有必要執行相關演練，以評估整個組織的人員資安風險。

 

        教育部每年會對各大專院校進行「防範惡意電子郵件社交工程」演練，其測試目的希望藉由模擬駭客寄送各種誘騙信件的手法，測試教職員點選各類誘騙信件的比率，以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。這些測試信件包含時事、公務、權益、八卦等各種容易引起興趣的主題，來測試人員的警覺性，以訓練及評估其防範網路詐騙和資安威脅的能力。演練結果會以統計收件者開啟信件、點擊信件連結、開啟附件的比例進行評估，找出容易遭破解的資安弱點—人員，對此加強後續教育訓練及宣導，進而降低受攻擊的風險。

 

以下列出一些常見的社交工程演練信件範例，不僅主旨設計引起收信者的注意，顯示的寄件者名稱也經過調整，呈現與信件主旨及內容相關的寄件來源，試試看你會不會上當點開信中連結或附件！

 

圖一、現金普發好康訊息

圖二、連續假期請假攻略

 

圖三、防範郵件社交工程資安宣導

 

        以上社交工程演練信件中，除了試圖以主旨、內容、及寄件者瞞騙收件者，信中也都有看似指向重要資訊的連結，切勿直接點選，將滑鼠移到連結上，視窗下方就會出現真實的URL網址，可以先判斷是否與顯示文字符合。這些信件也都帶有附件，雖然顯示為pdf檔案，但檔案類型可以透過修改附檔名達到偽裝的效果，切勿貿然打開未證實來源的檔案。

 

發生在你我身邊的社交工程真實案例

        如同現今社會上詐騙電話層出不窮，網際網路上利用社交工程手法的詐騙信件精彩程度也不遑多讓。以臺大校園為例，除了常見來自外部信箱的冒名詐騙信件之外，也不時出現校內信箱被駭客盜用後，以內部信件名義向校內教職員學生寄送各式警告、通知等信件，意圖引誘收件者依照信件內容操作。以下舉出幾個真實發生的社交工程信件案例，透過分析其手法提高警覺性。

 

1. 假冒同單位主管級教授名義要求收信者回覆，此類信件為純文字，信中無連結或附件，內容簡短不多做說明，單純藉由社交階層關係，讓收件者出於急著回覆上級的情緒，達到下一步交流的目的。一般收信者只會注意信件的顯示名稱和署名，也就是被冒名者的中英文姓名，而不會留意郵件信箱地址。校內曾經有人回覆此類信件，後續來信者會表示因情況緊急，請收信者先墊款代買gift card或數位點數，也真的有人因此上當被騙荷包受損。

圖四、請回教授訊息

 

2. 此真實案例中，駭客先盜用一個校內信箱，將其顯示名稱修改為計中同仁姓名，寄了一封移除病毒的重要通知信給校內老師，信件署名也仿冒同仁的簽名檔，因此整封信從主旨、寄件者名稱、署名等都經過設計。信件附上宣稱密碼檢查的壓縮檔，解壓縮密碼還配合同仁的電話號碼。

圖五、計中重要病毒通知

 

        直接將該壓縮附檔上傳到VirusTotal分析，所有防毒軟體都檢測不出問題。但在沙箱環境將該壓鎖檔以7-zip及密碼解壓縮後，解開的程式會呈現檔名為Cleanup的exe檔，且顯示趨勢TrendMicro Logo圖示，如圖六。將檔案上傳到VirusTotal網站檢測，經多個防毒廠商分析結果為惡意程式，如圖七。

 

圖六、附件解壓縮後為exe檔

 

圖七、VirusTotal檢測結果

 

3. 有些信件模擬校內傳達給教職員的重要訊息，其主旨、內容擬真度相當高，信件署名也很完整，但只要留意寄件者，就會發現是b07學號信箱，而覺得懷疑為何是學生信箱寄送此類信件。以下兩封信為例，分別以附件及網址連結誘騙使用者下載或點選。圖六這封信在沙箱解壓縮後是一個看似無害的pdf檔案，但是點選後windows防火牆就偵測到木馬程式而將其封鎖。

圖六、教職員重要規定宣導

 

圖七這封信中的短網址連結，經VirusTotal分析為無害，但在沙箱執行後，會連到一個網站的php檔案，看似試圖下載檔名為「演練流程及注意事項.7z」的檔案。

 

圖七、函轉防災演練計劃

 

如何應對來真的社交工程攻擊

        以上這些採取社交工程手法信件的共通特性就是，「宣稱的寄件者」並非「實際寄信來源」，這只需要多注意一下細節就可以避免上當，其利用的就是收件者因為忙碌沒注意到真實寄件者或一時被署名蒙騙過去，甚至寄件者跟信件內容有無關係。臺灣大學資訊安全中心【網安精華區】針對郵件社交工程防護提供詳細的說明，從技術層面及行為層面分別提出建議措施，藉由養成使用信件的良好習慣並提高警覺，為個人及組織資安達到最佳防護。

 

參考文獻：

1. 臺灣大學資訊安全中心【網安精華區】郵件「社交工程」防護，https://cert.ntu.edu.tw/Module/Security/social_engineering.php#div_item1。
2. 臺灣大學計算機及資訊網路中心電子報v0070「冒名信件防範機制介紹」，https://www.cc.ntu.edu.tw/chinese/epaper/home/20240920_007006.html
3. VirusTotal惡意程式線上分析網站，https://www.virustotal.com。