今天早上突然收到多年未聯絡的朋友FB私訊…
這位朋友是我高中時就認識的,雖然在FB上有加為朋友,但幾乎沒在互動聯絡,只會透過彼此的FB塗鴨牆了解各自的生活點滴,然後彼此按個讚~
然後今早我忽然收到對方傳來的私訊,我一看就覺得有問題:
- 傳來的訊息中有URL連結
- URL連結是利用短網址處理過的
所以我馬上回訊問她:妳的帳號被盜嗎?
多做一次求證,再決定要不要點擊連結~
看到朋友傳來的私訊,大多數人可能因為信任而不加思索就點擊連結了,我是出於職業習慣,會立刻警覺到這應該是朋友的帳號被盜用而發出的私訊,而這正是社交工程攻擊最厲害、最難防的原因:信任!
不論是Line、FB或是傳統的Email,很多社交工程攻擊就是利用人們對發出訊息對象的信任來實施攻擊的,而社交攻擊手法有很多種,常見的有釣魚攻擊和詐騙攻擊等。
釣魚攻擊就是在訊息中附上一些URL連結,誘騙收訊對象點擊這些連結,然後進而取得更多資訊(例如帳號密碼、個人資料等)或是安裝後門程式、App等等。
而詐騙攻擊就是在訊息中列出一些恐嚇意味的內容在裡面,讓收訊者感到心生恐懼(例如擔心私密資訊外流等等)而同意付款,而且都是要求使用加密貨幣付款!
要注意的是現在的手法越來越精巧,常會利用短網址或是偽裝成Apple、Google、Amazon等大公司發出的通知信件來透騙收件人點擊連結、填寫重要資料,千萬要提高警覺!
常見的詐騙信件內容
都是用一些帶有恐嚇意味的內容,不要理它就對了!
要如何避免成為受害者?必須要自己隨時提高警覺!
社交工程攻擊是駭客最常成功的一種方法,比起利用各種攻擊工具去正面掃描、攻擊網站伺服器還要容易得逞,而且手法很多元,包括利用電話、Email、各種Social Tools(例如Twitter、WhatsApp、Line、FB Message等等,事實上有許多駭客工具就是在收集這些Social Tools上的個人資訊的!
現代人對於傳統詐騙集團的詐騙電話都不陌生,都經常會接到廣告行銷電話和詐騙電話,大多數人都因此而被迫提高警戒心,因此傳統詐騙集團也開始改變以前的做法,開始導入駭客的一些手法,例如我之前分享的親身案例:
要如何有效保護好自己的各種帳號密碼?
先不談廠商是否有妥善做好資安措施、保護好客戶的個資,我們先就個人可以做的事情來建議,以密碼學和駭客難以破解的角度來考量:
- 若發現帳號被盜用,請立刻進行密碼的變更,並啟用二次驗證機制!
- 提高密碼強度,最好用英文大、小寫+數字+特殊字(順序沒有一定,至少要7個字)
例如:IamKen=16888 (不一定要很難記,除非是用程式產生大量新密碼)。 - 不同網站的帳號密碼儘量不要一樣,才不容易被撞庫攻擊得逞
(撞庫攻擊的意思是駭客從某個網站取得大量帳密後去攻擊別的網站)。 - 能夠啟用二次驗證機制的服務,就儘量啟用,別怕麻煩
例如:AWS、Gmail、FB等等都有二次驗證機制,會利用簡訊或App做二次驗證。 - 不要太仰賴第三方密碼託管服務,最好自己管理,也不要把帳號密碼的記錄檔案放在雲端儲存空間裡(例如Google Drive等等),最好只存在自己有加密過的儲存硬碟裡。
- 大多數密碼不予許中文字,第一個字元不能用數字,有許多人會用鍵盤排列來設定密碼,但這種方式已被列入字典攻擊裡了。
想要做好防護,就要先了解駭客怎麼攻擊!
▌提醒事項:
〉請準備一台自己的筆電,必須具有無線上網功能
〉上課時不得錄音、錄影,請尊重講師智財權
〉上課教材會在現場發送給學員,並有紀念品
▌講師個人介紹:
現任「優福網資訊有限公司」資深雲端顧問
〉協助企業建置形象網站、電商平台網站
〉協助企業改善資安弱點、提升防護等級
〉協助企業雲端網站有效防禦DDoS攻擊
〉協助竹科企業救援Magento電商平台
〉協助知名遊戲公司代管雲端26個帳號
〉協助知名電商平台企業培訓雲端人才
〉協助知名遊戲公司大幅改善雲端成本
〉協助知名上市公司整併全球網站至AWS
★講師從事雲端顧問十二年,實戰經驗豐富