[Day2] 资讯安全的攻击与威胁-社交工程

今天纪录资讯安全的攻击与威胁里的社交工程。

社交工程

社交工程是一种透过沟通、欺骗的手法,取得他人的帐号密码、身分证字号等机密或敏感资料,利用这些资讯权限进行系统破坏或是骗取金钱利益。常见的方式包含:各式各样的钓鱼手法、偷看偷翻资料、设计骗局等等。

在英文方面满有趣的,光是钓鱼手法就有很多分类:Phishing(网路钓鱼)、Smishing(简讯钓鱼)、Vishing(语音钓鱼)、Spam(垃圾邮件)、Spam over instant messaging(SPIM)(即时通讯软件上的垃圾讯息)、Spear phishing(鱼叉式钓鱼,针对特定目标的钓鱼方式)、Whaling(钓鲸,锁定企业高阶主管为钓鱼目标)、Invoice scams(帐务付款诈骗)等等。
提到付款诈骗,我今天正好收到一封中华邮政的email,告知我有运费没有缴纳,需要付款後才能重新收件。搜寻过相关资讯後发现这个是很久的诈骗信,点击email附上的连结後会导到诈骗网站制作的信用卡付费网页,会盗取你的信用卡资料。这是一种Invoice scams,同时也是Phishing。
假中华邮政骗个资 email勿点连结
https://ithelp.ithome.com.tw/upload/images/20210918/20113393fUm3m4Ar0T.png
图片来源:我的email

实际行动的分类则包含:Dumpster diving(垃圾寻宝)、Shoulder surfing(肩膀冲浪)、Tailgating(尾随)、Pretexting(冒名电话)、Identity fraud(身份诈骗)。
我想到的例子有:办公室电脑跟自己的行动装置的萤幕上使用防窥片是防止Shoulder surfing,而碎纸机则是防止Dumpster diving、避免别人很容易地取得公司机密资讯。

和技术更相关的有:Credential harvesting(凭证窃取)、Typosquatting(利用相似域名的诈骗)、Pharming(网址嫁接)、Watering hole attack(水坑攻击)。上个月看到的新闻报导里,LINE出现假以乱真的官方网站,SEO也做得很前面、网址及内容做的很像,就是要让没有注意到的用户下载了有问题的档案、将自己的帐号密码输入到假官网上,导致机密资讯泄漏的问题。这个应该就是Typosquatting。
【诈骗】山寨LINE官方网站还下Google广告!切勿点选不明网址、填帐号密码或下载资料
https://ithelp.ithome.com.tw/upload/images/20210917/201133934ekaDfUXRQ.jpg
图片来源:MyGoPen

延伸阅读

(1) 《APT攻击/威胁 》 水坑攻击: 不是去攻击目标,而是去埋伏在目标必经之路


<<:  未来狂想:国防军事

>>:  【D17】制作讯号灯#2:三大法人期货留仓与大盘的关系

[Day 32] 再访碰撞侦测与解析(四) - Debug Ray vs Rect!

今天加班到很晚,希望回到家还能有时间处理昨天写出来的bug 今日目标 找出与修正ray vs deb...

机器学习:Feature Engineering 课程学习总结

总结:通过对features进行归类和操作,让features更加符合traindata的需求; 1...

如何在 Angular 获取 URL 资讯

在实作里,很多时後我们会将一些必要资讯记录在网址上,直接在网址里就能得到我们要的讯息 不用再透过组件...

Day19 - 写出更有品质的程序码,信 eslint 得永生

前言 俗话说:「一千个人,就有一千种程序码的写法」,而且我们身在 JavaScript 的世界中,一...

Consistency and Consensus (1) - Consistency Guarantees

终於要开始讲建立分散式容错系统会用到的演算法和协定啦!Day 14 ~ Day 20 的内容都是假设...