基隆市 消防局 Keelung City Fire Department

一、什麼是社交工程
社交工程(Social Engineering)，是指駭客利用人性容易相信而上當的弱點來欺騙他人以獲得有用的資訊，是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。社交工程造成極大威脅的原因，在於惡意人士不需要具備頂尖的電腦專業技術，只要使用者對於防範詐騙沒有足夠的認知，就可以輕易地避過軟硬體安全防護，騙取到各項帳號密碼、個人資料、財務資料或公家機關重要資料等資訊，造成嚴重的損害與威脅。
二、社交工程攻擊四步驟
(一)社交工程攻擊先取得一個攻擊目標的背景資訊。
(二)透過交談與受害人建立信任。
(三)向受害人要求資訊。
(四)利用這些資訊向其他或更高層人員欺騙。
三、案例大要
某公務人員收到以承攬該機關系統建置及維護廠商工程師之名義所寄送之電子郵件，內容附帶一壓縮檔，經解壓縮後，內含附檔名為ppt之簡報檔，於開啟檔案後，即自動執行惡意程式，並自行連結至位於泰國之未知網站。且簡報內容確與該業務相關，足見該公司相關資訊已被駭客掌握。
經分析該郵件內容，發現其以檔案加密方式規避防毒軟體之偵測，另以檔案字元反轉方式引誘使用者開啟，且具自動植入後門及逆向連線回報等功能，確認屬於惡意郵件。是駭客以該系統建置及維護廠商為身分掩護，針對公務機關所為之釣魚郵件攻擊行為。
四、其他應用社交工程的各種攻擊方法
(一)電子郵件隱藏電腦病毒
駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱。
(二)網路釣魚 
有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若未小心求證而連結了郵件中的鏈結，可能就下載了惡意程式；或者在假網頁上輸入了帳號密碼、信用卡資料等，造成銀行戶頭被盜領或盜刷等嚴重後果。
(三)圖片中的惡意程式 
明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，例如在色情網業點選了像是裸照的內容，就容易感染病毒。
(四)偽裝修補程式
另一種社交工程的欺騙手法，就是偽裝成微軟的修補更新程式，因為一般使用者不會覺得這是來路不明的程式，所以沒有防範社交工程也會利用這個漏洞，而將惡意程式隱藏其中。使用者若安裝了這個檔案，不但不會修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。
五、機關防處作為
(一)隨時具備危機意識，惡意人士可能以任何角色或形式出現，在沒有適當的認證情況下，不應輕信他人，只要出現社交工程攻擊警訊，都應保持小心求證的戒心。認識幾個社交工程的可疑徵兆，例如對方強調是緊急事件；提出不尋常的請求；威脅對方如果不照辦會有嚴重的後果；拒絕告知回電號碼…等，遇有上述情形時應提高警覺心。
(二)應定期執行病毒碼更新與資安監控，以維護資安防護有效性。
(三)持續強化機關同仁資安教育訓練，不開啟來路不明的電子郵件等，在任何資訊釋出時，都要確認要求者的身分及對方是否經過授權。
(四)機關應管控公務電子郵件帳號使用情形，遇到疑似攻擊事件時應向有關單位通報。
(五)提醒承商重視及強化自身網安作為，嚴禁私設遠端維護機制，落實現地維護要求，避免成為駭客入侵管道。
六、總結 
駭客攻擊管道以轉向政府工程承商或合約維護廠商，並非直接以政府機關為攻擊對象，請各政風機構協調相關機關相關單位加強掌握委辦廠商之資安狀況，並持續檢視機關資安作為之執行情形，以有效防範駭客以公務電子郵件進行社交工程攻擊等情事。
資料來源：基府政預貳字第1039990289號