‧聯合新聞網 2008/07/17
資訊安全一向以技術導向,不斷以新程式來防堵或破解駭客的程式。但再堅固的堡壘,再堅強的陣容,只要有「人」的存在,就有漏洞……
【經濟日報╱邱思緁】
資訊安全一向以技術導向,不斷以新程式來防堵或破解駭客的程式。但再堅固的堡壘,再堅強的陣容,只要有「人」的存在,就有漏洞。於是資策會反向思考,從使用者的行為出發,追蹤使用者的郵件使用情況,並告知使用者接觸惡意程式的紀錄,以「社交工程演練方式」的防護措施,一舉拿下首屆國際資安競賽首獎。
資策會專案支援處副處長劉培文表示,在資訊安全領域上,一有新程式出現,駭客總會想辦法鑽程式的漏洞,進行播散病毒的動作。「道高一尺,魔高一丈」,因此不論資訊安全於技術上如何突破創新,仍舊是防不勝防。
過去駭客多藉由電腦連線,以無目標的方式散播病毒,來癱瘓整個網路系統,例如過去企業聞「黑色星期五」就色變,但現今藉由防火牆建構的防護系統,讓這種無目的的攻擊方式已漸銷聲匿跡。
Web2.具備的高互動性,讓駭客開始鎖定特定單一對象,進行特定攻擊 (Target Attack)。尤其,今年在美國更發生駭客鎖定高階主管發動攻擊的事件。
該駭客掌握藉由企業執行長的完整個人資料,以美國法院傳票名義發送信件,並進而點選郵件內的惡意連結。由於瀏覽該網站時,會要求同意下載惡意程式,於是惡意程式開始從電腦中竊取重要的機密文件、帳號、密碼等。
緊盯郵件 告知惡意程式
劉培文說,該次資策會以「社交工程演練:防護社交工成功及最佳實務經驗」模式,是利用人性的弱點為基礎,即網路資安上的所稱「社交工程」為基礎,而建立出一套反向思考的資安防護系統。
社交工程具備兩個元素,一個是人,二為詐騙手法。所以凡對「人」或「特定的對象」,使用各種新奇古怪的詐騙手法,而達到施騙者的目的就稱為「社交工程」。
目前在網路上普遍看到的「附件連結、「附件檔案」、「附件圖片」、「網路釣魚」等常見的手法,都是駭客利用的人性,如貪心、好奇、八卦、粗心、信任等弱點,誘騙使用者開啟含有惡意程式的檔案。
劉培文說,過去帶有惡意程式的多為執行檔、圖片檔、與連結,現今連Office檔案也成為攻擊工具之一。因此,對使用者來說,資訊安全強弱程度,仍要取決於使用者本身對信件的敏感度與警決心。
有鑑於科技無法完全防堵惡意程式,資策會改以人性弱點為出發點。假設駭客藉由電子郵件夾帶木馬後門程式,而信件標題以娛樂八卦、運動時事或色情相關,引誘使用者開啟郵件中所夾帶的木馬後門程式。
如此,駭客便可透過木馬後門程式取得主機的最高權限,偷取主機內部重要資料,甚至進一步遠端操控該電腦,並對其他電腦發出攻擊、監控內部網路,進一步取得更多帳號、密碼與個人資料。
資策會並追蹤使用者使用郵件的行為,以郵件告知使用者何時曾開啟「社交工程」郵件,以提醒與教育方式雙管齊下,提高使用者的資安意識,降低被惡意程式攻擊的機率。
根據資策會兩年演練的數據顯示,會打開社交工程攻擊信件的使用者已從33%降為21%,而點擊信件中連結或附近的比例也從18%降為13%。
劉培文表示,該系統以人性弱點取代過去的技術導向,並追蹤使用者後續行為,有效降低電腦遭惡意程式攻擊的機率。基於技術簡單,目前包括趨勢等資安業者已經開始有類似服務。
網路釣魚 用戶端別上鉤
事實上,整個垃圾郵件發送過程,目前已發展成一種新犯罪模式,成為現實社會中詐騙集團的翻版,而最常見的就是將垃圾郵件結合網路釣魚(Phishing)的手法。
「Phishing」是由「Phone」和「Fishing」兩英文單字合成。根據反網路釣魚工作小組 (APWG)定義,網路釣魚是藉由社交工程與詐騙手法,偽造電子郵件或金融機構等知名網站,甚至是綁架網址的手法,以偷取使用者的身分資料及金融帳號等機密資料。
由於Web2.0的便利性,讓消費者不走出門外,也能輕鬆購物、轉帳、工作等。但這種便利性也是一刀兩刃,促使駭客不需直接入侵網站伺服器獲取資料,反而透過網站攻擊用戶端,或是讓使用者自行上鉤。
今年初北美造成網路恐慌的Storm Worm惡意程式。經過思科(Cisco)研究發現,就是透過社交工程,誘騙使用者閱讀垃圾郵件、點選惡意連結、連上惡意網站後,並開始自動下載Storm Worm惡意程式。
被下載惡意程式的電腦成為魁儡電腦,如此複製同樣的手法持續散播惡意程式。該犯罪集團以加拿大線上藥局為釣魚網站。若從線上訂購藥品,犯罪集團則從印度與中國寄出商品。據統計,該犯罪所帶來的利潤每年可高達1.5億美元。
劉培文表示,要防止類似詐騙行為發生,最終由使用者的心態決定。只要看到不熟悉的人寄電子郵件或是奇怪標題,還是少開為妙。