案例情境:
小漳是一位年近三十确仍然保持单身的科技新贵,因为平日专注于研发工作,所以并没有其它机会认识朋友,只能透过网络这虚拟的媒介来拓展自己的人际关系,扩大自己的生活圈,所以每天小漳进公司第一件事情就是打开outlook收信。今天他很惊讶的看到一封信的主题写着”I Love U”的信件,一时之间他又惊又喜连忙点开这封信,但是点开之后发现Outlook通讯簿的名单自动寄发大量邮件;同时覆写数种档案格式的附文件,导致计算机无法使用,小漳这时才发现自己中毒了。
防范措施:
*此案例已违反ISO27001条例 A.8.2.2 信息安全教育与训练、A.10.4.1 对抗恶意供码的控制措施项目,且属于网络犯罪。
以上这个案例就是多年前引起轩然大波的『我爱你』计算机病毒事件,黑客并不是使用很高深的技术来达到破坏与入侵的目的,而是利用人性的弱点达到自己想要的目的,或者窃取想要的信息,这就是所谓的『社交工程』。目前除了使用诱惑性主题的email之外,还有透过电话、IM与聊天室等方式诱骗对方上当,以骗得想要的信息,例如账号密码、相关个人数据等,所以这类的黑客行为比较像个聪明的骗子而不是暴力攻击的强盗,但是都可能达到瘫痪企业网络的目的。
『社交工程』的攻击行为通常会利用人性的弱点,锁定在某些特定的人群,而这些人群可能对信息安全的认知比较不足,但却握有特殊权限的高阶管理者,例如行政管理或者传统产业的管理阶级,因为这类型的黑客会选择最容易得手且有价值的猎物。
防范社交工程的恶意攻击手法,可参考以下的应对措施:
1. 尽量避免加入不明来源的MSN 使用者,不接受不明联络人的档案。
2. 使用扫毒程序—在点阅信件之前确认信件的安全性。
3. 限制邮件自动发送,如果系统主动对外发信必须通过系统管理员同意。
4. 对权限加以分级控管,不属于个人份内事务不应掌握账号密码等特殊权限,以免因为不了解安全等级而不慎外泄重要信息。
5. 安装和开启个人防火墙(微软自带) 三依中文网 www.3eeezw.com 三依,阻挡不明程序尝试对外联机。
