認識 社交工程社交工程 攻擊手法, 提升校園資訊安全 石謂龍 Robin Shih Senior SE Taiwan, TippingPoint
Agenda 校園資安亮起紅燈, 需要全員一起建立資安觀念! 何謂 社交工程? 何謂 網路釣魚? 社交工程 攻擊手法實例說明 如何避免落入 社交工程 與 網路釣魚 網路釣魚 的欺騙圈套? Q & A
3 校園資安亮起紅燈, 需要全員一起建立資安觀念!
校園的資安拼圖 阻擋 P2P 侵權問題 占用頻寬, 導致重要的服務緩慢 防火牆負荷不了 漏洞入侵與零時差攻擊 微軟 Adobe 漏洞ㄧ大堆 零時差攻擊滿天飛 電腦全成別人的禁臠 SQL Injection/XSS 又來搗亂 建立社交工程防禦觀念 資安是全員的工作 人才是最關鍵的問題點 Botnet 與暴力密碼破解 電腦遭入侵成殭屍 被利用來為非作歹 暴力破解伺服器密碼
Adobe 遭零時差攻擊
經濟不景氣, 網路犯罪昇溫 你的電腦變成殭屍
駭客運用殭屍電腦軍團發動攻擊 您的電腦很可能就是當中的一份子 發送垃圾郵件, 詐騙郵件, 夾檔中帶有惡意程式的郵件 大量猜測別人的帳號密碼 癱瘓他人的網站, 塞爆他人的頻寬 集中攻擊點
俄羅斯駭客發動網軍癱瘓愛沙尼亞政府網路 許多來自台灣的電腦參予了這次的攻擊 Critical Infrastructure Attacks Estonia Estonia Estonia came came came under under under intense intense intense electronic electronic electronic attacks attacks attacks on on on April April April 27, 27, 27, jamming jamming jamming up up up commercial commercial commercial and and and government government government Web Web Web sites. sites. sites. DDOS DDOS DDOS Attacks Attacks Attacks
SQL Injection 大肆入侵校園 1,900+ Web Sites Compromised via SQL Injection 9 將使用者導向惡意站臺 惡意站臺試圖利用漏洞入侵使用者電腦 偷取個人電腦裡的資料, 或是植入殭屍控制程式
Cross-Site Scripting 部落格危機四伏 偷取使用者 Cookie 資料 駭客使用圖示的手法將 Script 語法貼入討論區或 Blog, 當其他使用者瀏覽至此網頁時, 視窗便會秀出自身瀏覽器 cookie 資料 XSS 攻擊介於駭客與使用者之間的攻防戰, 並不會對 server 主機有任何威脅, 所以才被稱為跨站腳本攻擊, 意思即是 : 駭客使用某些語言 ( 腳本 ) 跨過主機對使用者進行攻擊
何謂 社交工程? 社交工程, 英文為 Social Engineering, 是一種利用人性弱點, 並結合心理學知識如欺騙 偽裝偽裝 恐嚇恐嚇 說服說服 恭維等恭維等來獲取 ( 騙取 ) 有用資訊的一種駭客攻擊手法 近年來社交工程之所以如此常見, 起因於惡意人士不需要具備頂尖的電腦專業技術, 只要電腦使用者對於防範詐騙沒有足夠的認知, 就可以輕易地避過各種軟硬體安全防護措施, 騙取到帳號密碼 個人資料 財務資料或學校其它重要資料等資訊 11
駭客入侵電腦系統常用的三種方式 Attacker 利用系統的漏洞入侵 ( 零時差攻擊 ) 暴力猜測帳號密碼 個人電腦 騙取帳號密碼 社交工程網路釣魚 資料庫
什麼是漏洞? 什麼是零時差攻擊? 什麼是漏洞? -- 與作業系統或是電腦程式因為撰寫不慎而留下的缺點 -- 有心人士可以利用這些缺點撰寫惡意程式去侵占電腦的主控權, 獲得利益 -- 漏洞是資安的大問題, 攻擊的方便之門 漏洞被發現 TippingPoint 數位疫苗下載攻擊手法根據攻擊手法被撰寫的被設計出來惡意病毒 / 蠕蟲出現 TippingPoint 的客戶已經被妥善保護 程式更新 Patch 完成 採用病毒比對保護方式的產品依據病毒碼更新資料庫 程式更新 Patch 必須被完成並下載的黃金時間 在含有漏洞的程式完成更新 Patch 並下載給客戶前, 如果惡意病毒 / 蠕蟲 / 木馬已經出現, 而且開始感染電腦與網路, 這樣的情況稱作零時差攻擊
暴力密碼猜測攻擊 Attacker 駭客發動大量連線到伺服器端 使用暴力密碼猜測方式攻擊 Internet Switch 正常使用者 Firewall Core Switch 伺服器因為回應大量連線而忙碌 造成正常使用者無法登入 Remote Building Server
學校建置重重防護, 就可以高枕無憂? 用騙的比較快! Attacker 入侵! 入侵! 哇係資訊中心您的密碼到期請給我舊密碼幫您變更帳號 DaiDai 密碼 12345678 甘溫 入侵! 入侵!
16 社交工程 攻擊手法實例說明
社交工程常見的手法 利用電子郵件的社交工程 假冒寄件者身分 取得收件者的信任令人感興趣的郵件主旨 ( 八卦, 內幕, 情色, 公文, 福利, 旅遊, 折價券 ) 夾帶含有惡意程式 ( 如木馬 ) 的附件透過軟體漏洞或是零時差攻擊方式 將木馬程式植入電腦中 透過電話與直接會面訪談的社交工程
電子郵件社交工程 假冒的寄件者與電子郵件地址 使用相同的顯示名稱 : 王小英 在寄件者處按左鍵兩次查看詳細寄件者資訊 申請類似的郵件地址
電子郵件社交工程 令人感興趣的郵件主旨 ( 公文? 權益?) 您訂閱了這個報紙? 夾帶附件檔 Worms 常見可隱藏惡意程式的附件檔種類 Trojans Viruses Spyware
電子郵件社交工程 令人感興趣的郵件內容 ( 情色, 八卦, 旅遊好康 ) 您認識寄件者? 常聯絡嗎? 夾帶附件檔
收到久未連繫朋友所寄送的郵件? 來自於認識的人, 但久未連繫 極富吸引力的標題 夾帶附件檔
社交工程實例 -- 假冒寄件者 看到來自 gov 網址就不疑有它?
訪談詐騙社交工程 -- 使用偽裝與說服的方式 大家都這樣做了, 效果不錯喔! Attacker 您好! 這裡是資訊中心, 現在要為您的電腦做維護是嗎? 怎麼事先沒有接到維修通知? 這是教育部臨時要我們執行的一項緊急處置, 我們剛幫數學系做完, 大家都覺得電腦變快了是喔? 既然效果不錯, 那就幫我做一下! 好的! 您不需做甚麼, 我們會從遠端執行, 您只要給我您的無線網路認證密碼即可 我的帳號 DaiDai 密碼 12345678 謝謝啦!
社交工程實例 -- 恐嚇手法 你中毒了! 要購買防毒軟體
訪談詐騙社交工程實例流程圖 -- 偽裝與恭維 目的 : 試圖了解 A 校用的學籍管理軟體, 並入侵系統後取得學生資料 從網站得知 A 校網管人員姓名與電話 謊稱自己是 B 校網管人員 詢問對於學籍管理軟體的採購建議 宣稱將會寄送新版軟體並得到回饋 另一位駭客謊稱自己是 Z 廠牌行銷人員 得知 A 校使用 Z 廠牌的學籍管理軟體 A 校網管人收到 CD 並連到假網站註冊 木馬裝進 A 校學籍軟體伺服器中 A 校學生資料全都被盜走
MSN 越來越受駭客喜歡的詐騙管道 對方離線還送來訊息? 都是一些連結 切勿點選 儘快通知對方進行電腦掃毒並且更換 MSN 密碼
MSN 越來越受駭客喜歡的詐騙管道 ( 續 ) 對方在線甚麼都沒說直接給一個連結 點選前先回一段文字確認 你有 Q 偶嗎? 沒.. 沒.. 沒有
何謂 網路釣魚? 網路釣魚, 英文為 Phishing, 根據反網路釣魚工作小組 (APWG) 所做的定義, 網路釣魚 是利用偽造電子郵件偽造電子郵件與幾可亂真的仿冒網站幾可亂真的仿冒網站作為誘餌, 愚弄使用者洩漏如銀行帳戶密碼 信用卡號碼等個人機密資料的一種駭客手法 根據調查 : 利用知名品牌所建立的信賴感, 讓此類詐騙行為成功機率達 5% 28
您曾經收到類似的信件嗎? @ 前面的敘述都將被忽略 署名的部份煞有其事, 還有 Logo
網址列用 IP 來呈現? 登入畫面幾可亂真 真實的網址
簡單辨識釣魚信件的方式 1. 非 HTTPS 2. 用 IP 代替 URL 網址 this is NOT PayPal!
網路釣魚已經成為嚴重的社會問題
考驗眼力嗎? 釣魚網址註冊的跟真的超級像 是 l? 還是 1? 土地銀行 http://www.landbank.com.tw 釣魚網址 http://www.1andbank.com.tw 竊取網銀帳號密碼 是 o? 還是 0? 雅虎奇摩拍賣 http://tw.bid.yahoo.com 釣魚網址 http://tw.bid.yah00.com 竊取拍取拍賣帳號密碼 若是不慎將自己的帳號密碼登入到假網站中, 往往會出現錯誤訊息 因為這是假的網站, 沒有資料庫可以比對帳號密碼的正確性
結合 Google 關鍵字廣告的釣魚網址 透過 Google 查詢 拍賣 竟看到假的 Yahoo 拍賣網站 tw.bids-yahoo.com
結合 Google 關鍵字廣告的釣魚網址 ( 續 ) 真的 Yahoo 拍賣 假的 Yahoo 拍賣
如何避免落入 社交工程 與 網路釣魚 的欺騙圈套? 36
電子郵件社交工程手法之防範 注意可疑電子郵件之特徵 要求輸入並送出個人私密資料的郵件 任何要求您提供個人姓名 生日 身份證字號 電子郵件帳號與密碼, 或其他相關個人資料的電子郵件, 無論寄件人是什麼身份, 這樣的郵件八九不離十是屬於詐騙信件 若您還是相信這封郵件的合法性, 請先複製網站的 URL 後貼上, 或是上該公司的網站查清楚他們的連絡資訊 不要直接回覆郵件或按下任何超連結 請即刻連絡該公司的支援部門, 確認該封郵件的合法性 內文含有這樣的描述 通常那些字句不通順 錯字連篇, 或是有類似 這是千真萬確的 或 請將這封信轉寄給您所有的朋友 句子的電子郵件, 都應該要多加留意 即使不是惡意郵件, 常常也是以訛傳訛的內容
電子郵件社交工程手法之防範 注意可疑電子郵件之特徵 ( 續 ) 過於聳動的主旨或是緊急處置要求 吸引您來開啟 不正常的發信時間 半夜兩點同事居然寄信來? 陌生人或少往來對象來信 很久沒連繫的朋友? 除非是發喜帖吧! 認識的人來信但主旨或內容與其習性不符 老王只愛打麻將, 居然寄 MP3 來?
電子郵件社交工程手法之防範 調整收信程式的安全性 關閉郵件預覽功能關閉在預覽窗格檢視時自動下載郵件勾選以純文字閱讀所有郵件以 Outlook Express 為例 : 選項 閱讀 關閉郵件預覽窗格 以 Outlook Express 為例 : 檢視 版面配置 預覽窗格
電子郵件社交工程手法之防範 調整收信程式的安全性 ( 續 ) 點選受限制的網站區域勾選在其它應用程式試圖以我的名義傳送電子郵件時警告我 避免在不知情的狀況下傳送郵件 駭客會利用入侵成功的電腦代為發送惡意郵件勾選在附件有可能有病毒時不允許儲存或開啟 以 Outlook Express 為例 : 選項 安全性
電子郵件社交工程手法之防範 養成良好的使用習慣 非必要閱讀之郵件逕行刪除 非公務與教學必要的郵件 檢查寄件者與郵件地址的真實性 直接在寄件者處按滑鼠右鍵兩次 開啟郵件內含之超連結時先確認連線網址之網域名稱 (Domain Name) 是否足以識別? 若為數字 IP 之網址勿輕易開啟 http://www.microsoft.com/passport/login.asp@333865994/login.asp
電子郵件社交工程手法之防範 檢查電子簽章
隨時更新系統與防毒軟體 漏洞修補修補是資是資安防護最重護最重要的工要的工作 駭客無法將植入惡意程式 (ex: 木馬 ) 別讓自己的電腦的電腦變成殭屍 Botnet 駭客不能藉由您的電腦您的電腦轉發惡意郵件不僅是 Windows, 還有各種應各種應用程式 (ex: Adobe)
善用警政署提供的資源 免費防毒軟體與免費線上掃毒服務資源列表 http://www.cib.gov.tw/interview/service01_2.aspx?no=36 免費電腦健康檢查程式 NPASCAN v1.7 附件下載 : 下載處 1. http://www.police.org.tw/npascan_1.7.zip 下載處 2. http://www.npa.gov.tw/npagip/wsite/public/attachment/f1234227146655.zip
還有甚麼值得注意的地方? 將常用的網站, 特別是需要登入帳號密碼的網站 ( 網銀, 拍賣, 電子郵件 ) 加入我的最愛 避免使用搜尋引擎來搜尋網址 避免不必要的輸入錯誤 避免從電子郵件中的連結直接點選 常更新密碼 不要通用一個密碼 使用滑鼠點選的螢幕虛擬鍵盤更可以避免側錄風險
Q & A 感謝您的耐心聽講與指導 石謂龍 Robin Shih rshih@tippingpoint.com 0935784086
參考資料 The Art of Deception: Controlling the Human Element of Security -- Kevin Mitnick and William Simon 資安案例安案例分享 -email 社交工程及防護 -- 林佳明