想做识破曹操社交工程奸计的诸葛亮吗我教你

发布时间：2020-06-30 20:53:47 阅读：次来源：电圆锯厂家

摘要：用户没有下载不明或非法软件，也没有使用外接装置，几乎都遵守IT人员建议的规范，并处于防火墙、防毒机制的保护之下，为什么还是遭到感染与入侵!?

关键词：社交工程

用户没有下载不明或非法软件，也没有使用外接装置，几乎都遵守IT人员建议的规范，并处于防火墙、防毒机制的保护之下，为什么还是遭到感染与入侵!?

上述问题多半由恶意电子邮件而来。

恶意电子邮件攻击的对象可分为非特定对象及特定对象：非特定对象的攻击常见于一般的病毒、蠕虫邮件。这类邮件的散布面广，没有特定攻击对象，以增加攻击母体的总数来提高攻击成功的机率，因此其内容多半是较制式的，用以欺骗戒心较低的被攻击者;特定对象的攻击，指的是此类恶意电子邮件是刻意制造，用以攻击特有对象的攻击邮件，在此类邮件攻击的前期，通常都会先调查被攻击对象的习惯、使用的防病毒软件…等数据，再特别打造出容易突破被攻击者防护机制，且易取信于被攻击者的攻击邮件。

换言之简单说，好比曹操要如下刘备城池之前，必先了解敌军战斗力、粮草等状况，在无知无觉中，目标城池已经被曹操的奸细了解的一清二楚，再按其特点设计最易攻破的战略，其后选择最佳人选，也就是那封攻击邮件，才可攻其不备，一击即中!

不过，问题也就来了……

邮件难自动执行攻击

除了极少的恶意邮件，可利用剖析邮件机制的漏洞直接入侵外，碍于电子邮件本体难以实现自动执行恶意程序的先天限制，不论是非特定或特定对象的攻击，都需要通过社交工程的手段 ─ 「欺骗」被攻击者，并令其配合整体的攻击实现，也就是恶意邮件的最常用骗术!

不同于一般的入侵攻击，通过恶意电子邮件发动的攻击其目标并非系统或机器，而是人。这样的攻击并不需要复杂高深的信息安全技术，只需借助已存在的恶意软件做攻击，其攻击难度及成本都会比直接攻击系统或机器来得简单与低廉。

里应外合，在所难免!重点的来了!(重要的事情说三遍一般发动的攻击不外乎是希望被攻击者配合的：

1. 乔装打扮型：目的只是为了让恶意附件文件：这类攻击邮件多半夹有一个恶意执行文档、压缩文件，或者加过密码的压缩文件，通常会乔装打扮一番，诸如色诱——美女照(My Photo);财诱——订单数据、免费午餐等类似骗局的文件，目的只为诱骗被攻击者点击恶意附件文件。

2. 简单粗暴型：这类攻击邮件多半小，没有附件文件，其中带有一个恶意链接连往一个钓鱼网站，或是网络驱动器空间，企图诱骗被攻击者点击恶意链接，后台就会自动抓取个人用户的敏感个人数据或下载恶意并执行。

3. 欺骗无知型：这类攻击邮件多半小，没有附件文件也没有超链接，纯粹在邮件中以文字的方式要求回传账号密码或汇款等事项，是否可以火眼精金就看各位看官的本事。

更高级的骗术：诱使主动配合攻击

被攻击者通常会受骗的原因，除了好奇之外，多半是此类攻击邮件具备三个主要的要素：

1. 被攻击者能轻易读懂内容：英文语系的攻击邮件攻击非英文语系的区域，不容易成功，因被攻击者不习惯使用该语言，若生活中与人互动并没有使用英文，类攻击邮件多半会被直接忽略。

2. 所提及的事与自己相关，可能略带紧急：若攻击邮件的内容及所声称的事无关或不重要，多半被攻击者也不会理会。

3. 没有适当的辅助识别的知识及工具：若攻击邮件可以被防毒、反垃圾信机制识别，并特别提醒收信人，收信人的警觉心会提高;或者被攻击者的计算机没有隐藏扩展名，且本身对于邮件中的可执行文件有警觉性也不容易被攻击成功。

当然，想做诸葛亮也不是那么容易的，必要的技能还是要会的。恶意电子邮件发动的攻击其目标是人，但这并不意味设备或架构的防护措施不重要。信息安全的机制诸如垃圾邮件过滤、防毒扮演的角色为降低被攻击者与攻击邮件的接触，或者提供额外的识别信息供被攻击者参考。但需要特别留意的是，由于恶意邮件的攻击方式、内容是会不停变化的，尤其针对性的攻击，因此难以通过邮件过滤机制达到实时百分之百的防范。且如前述，恶意邮件攻击的目标是人，因此落实正确的信息安全认知，才是火眼金睛的保障。

突破信息安全教育盲点

谈到信息安全认知，相信多数企业单位在内部都不乏教育训练及宣传，但教育的效果，常不如预期，我们在此列举出几个容易导致信息安全训练无效的问题：

1. 信息安全是信息部门的事：除了信息部门的成员外，其它成员并不认为或不能感受到信息安全与自身的相关性、重要性，因此信息安全教育训练容易轮为虚应故事或短期工作，而不能成为一个日常作业的习惯。

2. 传达的信息安全观念与环境不能配合：传统的信息安全观念可能会提及，若有不明的.exe执行档，则需避免执行，但windows操作系统默认是隐藏执行文件的，因此这样的观念却没有相应的可识别扩展名的环境配合，这就成了信息安全观念传递与执行之间的盲点。

3. 「禁止」与「应如何」：常见的信息安全教育训练多半是由「禁止」的观点来教育内部人员如何避免信息安全风险，例如：「禁止」使用简单密码、「禁止」开启不明邮件;但社交工程邮件有时难分真假，「应如何」进一步确认?密码不能使用简单密码，「应如何」设定一个安全又能被记忆的密码，从内部人员观点出发，在信息安全的教育训练设计中较容易被忽视。

4. 教育训练成果量测：信息安全训练完成后，对训练成果疏于量测也是容易导致信息安全训练无效的原因之一。教育训练成果如何，可通过合理的考试、问答或于企业内部举办相关演练进行确认及改善。

最后，还是要老生常谈一番，没有十足的安全，关键还是人的意识与警惕，就算诸葛也有疏忽的一时。社交工程并不是一个新的概念，在过去，这样的手法也被应用于人的直接互动、电话…等各种沟通的管道，电子邮件亦是沟通管道的一种，使用这样的方法可以降低入侵技术层面的门坎与成本。社交工程手法所利用的，多半是被害人的疏忽、惯性、贪念与恐惧，以达成其目的，因此，人的认知与训练是防护电子邮件社交攻击最重要的手段，但并非唯一手段，仍须辅以其它过滤识别技术搭配，才能达到事半功倍的效果。

※关于 Softnext 守内安 :

作为大中华区的邮件安全市场领导者，已有四成福布斯十佳CEO企业选择的邮件安全管理应用——Softnext守内安，凭借在网络内容安全应用领域十多年的深入钻研，致力于邮件安全以及网络内容的风险管控，提供面向市场、面向客户的最新威胁防御的网络安全产品，秉承“服务?品质?值得信赖”的全新品牌理念;在FROST & SULLIVAN(全球知名市调公司)大中华区调研中，除了成为连续五年复合业绩成长率第一名的质优企业。

作为邮件风险管理和信息安全内控管理服务的专业研发厂商，Softnext守内安立于本土，深入的本土化耕耘，相继获颁【2013中国软件和信息技术服务业最有价值品牌】和【品牌建设卓越团奖队】，邮件安全三剑客连续三年蝉联【上海市优秀软件产品奖】，并获得Frost & Sullivan授予【年度邮件内容安全服务提供商】的殊荣，并在品牌建设上，屡获软件和信息技术服务业【最有价值品牌奖】。

责编：suzhangbo