網路詐騙手法！釣魚信件、釣魚網站的社交工程駭客常見3手法！

2019/06/04

什麼是社交工程?

社交工程這個字眼相信大家都不陌生，在我們雲力橘子的服務裡面也佔了一個服務項目，那大家對於社交工程又有多少了解呢？

首先先介紹一下社交工程本身是什麼？社交工程泛指所有透過誘騙方式來完成惡意活動的手法，其中包含層面甚為廣泛，然而社交工程又可分為主動型與被動型。主動型指的是像釣魚郵件、簡訊釣魚、社交平台釣魚……等目標明確並主動出擊的手法，被動型則是像網頁釣魚、手機app木馬、QR Cord誘騙與各種釣魚誘騙下載木馬等。

相信閱讀到這大家已經可以感受到，社交工程和其他駭客攻擊最不同之處就是…「社交工程」本身其實就是一場騙局，相較其他攻擊手法，社交工程並不再單純透過資訊安全漏洞進行攻擊，而是透過欺騙誘導的方式得到受害者信任，在建立完彼此信任的前提下進而取得個人資料、設備權限、或竊取財物、甚至破壞行為。

社交工程有哪些手法？

1-1. 釣魚郵件

在不少資安大會上常看到一個數據，「90%的網路攻擊是從一封釣魚郵件開始的」，這個數據赤裸裸地表達出釣魚由現在網路攻擊這塊佔著什麼樣的重要性，我們更可以透過Gmail與G Suite企業信箱收到釣魚郵件比率發現，比起個人信箱，駭客更常使用釣魚郵件作為針對企業資訊安全攻擊的手法，引導用戶至假冒的網站，甚至引導用戶下載後門木馬或鍵盤竊聽軟體。

釣魚郵件手法最常見的就是使用html郵件格式，並在html中嵌入惡意行為，不論是開啟郵件時背景執行連線行為或下載行為、惡意超連結的誘導、圖片下載誘騙還是惡意附件檔的攻擊，最後都將可能導致用戶帳號、密碼及個人資訊外洩，然而駭客就可以利用冒用帳號的手段來騙取更多商業機密或散佈木馬程式和勒索病毒。

1-2. 釣魚網站

釣魚網站本身可以說是最常見也是受害人數最多的社交工程手法，這種手法通常會透過誘騙你下載惡意程式、在網頁中鑲嵌惡意連結或跳出惡意視窗等手法來讓大家願者上鉤，其中惡意視窗最多人見過的就是類似下圖的中獎通知，針對這張中獎通知來說，只要你按了刪除病毒的按鈕，便會自動下載病毒程式到電腦並執行，而針對此類型攻擊原則上不論點取彈跳視窗任何地方都有可能造成電腦本身自動下載惡意程式，建議已關閉瀏覽器方式來避免進一步被攻擊。

1-3. 社交平台釣魚

近日FB平台假抽獎活動頻頻上新聞被報導出來，不論是抽手機抽機車還是抽車子抽房子，各種假冒公司假冒店家抽獎的活動比比皆是，而多數此類型的釣魚攻擊最後都會將使用者誘騙到惡意連結或line群組，進而對使用者個人資訊或設備安全進行攻擊手段，而此種假冒官方的抽獎活動並不在少數。針對FB部分其實FB官方也建議使用者，要進行抽獎前進行近一步確認，不論是透過內建藍色小勾勾功能，或是透過官方網站的聯繫方式進行確認都是確保自己安全的好方法。1-4. QR Code誘騙

QR Code 是近幾年越來越多人使用的好工具，然而大家對QR Code的瞭解又有多少呢？QR Code是一個二維條碼相信大家都知道，但其中又包含了哪些資訊呢？

QR Code本身除了資料主體以外，其中也包含了一個重複資料的區域，這個設計是為了讓QR Code在被掃描時，如果發生無法掃描的意外，可以透過重複資料區來確保資料被完整傳達，然而這個功能也成為了駭客的好工具。惡意人士可以透過架設免費QR Code產生的頁面於網路上，並在使用者製造QR Code的過程中將惡意連結塞入重複資料區，然而QR Code失敗率本身在條碼被製造出來時就已經確定，一般使用者在下載使用後並不會感覺到異樣，但當掃描人數提高時就會有一定比例的人被導向惡意連結，而使用者在遇到此情形並不會優先懷疑QR Code本身問題，因為並非所有使用者都是被導向惡意連結。

QR Code的釣魚案例其實並非少數，最近也有傳出駭客利用某些通社交媒體電腦版QR Code登入功能進行誘騙，進而騙取用戶帳號密碼與位置等資訊，更顯示出這個工具本身安全性市值得被更深入探討的。

如何自我保護?

在資訊爆炸的年代，除非你是原始人否則這些資安資訊都會與每個人息息相關，那該怎樣預防這些社交工程攻擊呢？

針對釣魚郵件攻擊來說，建議關閉自動下載圖片功能並關閉郵件自動預覽功能，如果可以更建議開啟純文字閱讀功能，透過此方式更能確保郵件本身並不是被加工附帶惡意行為。

針對網頁釣魚，URL的確認其實是一個很有效也很基本的預防手段，當然像是惡意廣告或彈挑通知攻擊，也可以透過一些擋廣告工具或防止彈跳視窗的方式來避免誤觸。當然最重要的還是建議避免使用第三方軟件，也盡量避免從非官方載點下載任何檔案。

針對QR Code部分，建議以瀏覽器搜尋為主盡量避免使用QR Code，如果真的必要使用的情形下，建議下載一些可靠的公司官方發佈的一些安全掃描QR Code APP來做多一層把關。

最後就是！不要鬼迷心竅！不要讓自己的色慾、購物慾、貪小便宜甚至是惰性成為駭客利用的管道。

其他訊息

產業訊息

網路詐騙手法！釣魚信件、釣魚網站的社交工程駭客常見3手法！

其他訊息

MDR是什麼？企業需要MDR資安保護嗎？3分鐘看其原理與好處！

為什麼你的企業需要 Azure OpenAI：讓 AI 讀懂你公司的資料，還能變成專屬小助理

採用人工智慧克服銀行業的挑戰

多雲時代來臨，Azure Arc 引領企業輕鬆掌握多雲網路管理之道

從配置漏洞到數據洩露：一則 Terraform 安全案例剖析

告別安全與速度的兩難！阿里雲 ESA 邊緣安全加速，一站式全託管，安全防護，兼顧加速

雲端自動擴展的隱患：配置錯誤將引爆成本危機？

雲端日誌防線重要磐石，別讓黑箱成為防禦漏洞！

IAM 權限設定不當造成離職員工帳號被濫用

SOC結合SOAR好嗎？ SOC安全營運中心用途與結合SOAR優點一次知！

如何查詢網址安全？專家推薦這4招，教你免費檢測網頁安全性！

IT外包費用很貴嗎？一篇搞懂IT外包5個優點和費用如何評估！

多雲管理雲端是什麼？企業多雲資安管理的5大解決方案一次看！

雲地混合是什麼？3分鐘看公有雲、私有雲及混合雲優缺點比較！

ISO 27001是什麼？企業需要導入嗎？一篇瞭解資訊管理系統的優缺點！

雲端託管好嗎？雲端託管6大優點和挑選重點懶人包！

API 金鑰洩露引發大規模虛擬機創建事件

虛擬機登入憑證設定不當駭客侵入成為虛擬幣礦場

採用人工智慧克服銀行業的挑戰

雲端遷移策略企業數位轉型關鍵

從遊戲產業到數位平台：BigQuery 如何突破海量數據挑戰

社交工程是什麼？被攻擊該如何防範？5大資安攻擊和防範手法一次知！

企業需要用到CDN嗎？3分鐘快速瞭解CDN架構、用途和優點！

AWS是什麼？AWS雲端服務類型、優勢和使用方式一次瞭解！

DevOps和SRE差在哪？DevOps的4大優勢和相關服務推薦一次看！

如何做好雲端安全防護？推薦這6大雲端資安健診方法一次看！

IDC是什麼？我適合用嗎？挑選IDC機房3個重點和注意事項一次懂！

全新登場！阿里雲 CAPTCHA 服務，給您頂級安全防護與用戶體驗

什麼是DDoS攻擊？一次教你如何做好DDoS防護，保護你的網站！

如何提升網站效能優化？推薦5個改善網站速度的方法一次看！

雲端遷移成功關鍵因素

SOC它到底是什麼?它對資安有什麼作用?對於SOC資訊安全監控的功能與優勢有哪些?

精準運維，一站監控：探索騰訊雲可觀測平台的強大功能

Page Speed網頁速度如何加快？四種方法教你如何改善網站速度！

雲力橘子 2024 首發 Hacker Talk 論壇， 破解資安求職與無人機資安盲點

如何定義開源軟體＆套件？3分鐘快速搞懂第三方套件的授權模式！

雜貨店也能數位轉型？食品零售商如何透過公有雲優化商務呢

騰訊雲CCN雲聯網 手把手配置 高效穩定企業跨境全球互聯

【2024最新】公司企業的3款最佳Devops工具，成功案例一次看！

使用CDN安全嗎？CDN如何達到基本防護功能呢?

我用的APP安全嗎？會被竊個資嗎？3分鐘快速檢查手機APP資安！

如何確保做好企業資訊安全？這4大DDoS防護方法，推薦學起來！

發現手機被追蹤怎麼辦？注意 這十大被駭徵兆，手機資安恐不 保！

如何加快網站速度?影響網速的要件及升級指南

Vertex AI 和 Workbench 語言模組實戰，打造有人性的客服小幫手

我的 AWS實例啟用失敗，應該怎麼做？

雲力橘子 2023 最終場駭客論壇，探討網站風險、原碼檢測盲點與 Crypto 黑暗面

DDOS流量清洗是什麼？可以阻擋攻擊嗎？DDOS防禦方法一次看！

Devops是什麼？推薦企業一次看懂Devops定義、流程及優缺點！

如何做好資安防護？3個APP資安檢測工具、費用及功能一次看！

CDN廠商怎麼選？中華電信CDN、Cloudflare及Multi CDN大評比！

如何檢測iOS、Android手機資安？4招檢測方法預防詐騙＆駭客！

Google Cloud 引領潮流，擴大企業級生成式 AI的應用範疇，開創無限可能！

雲力橘子邀請專家獻策，破解惡意後門與車載資安盲點

企業為什麼要上雲？用途為何？盤點上雲5大優勢和費用解析！

可自建CDN嗎？和供應商差在哪？兩者優缺點和供應商挑選一次懂！

優化數據處理體驗：探索騰訊雲 EdgeOne 邊緣計算新境界

我該如何選擇最適合 AWS EC2 實例?

企業如何挑選合適的雲端服務？公有雲、私有雲差異比較總整理

技術專欄_運用AWS Network Firewall控制 Workspaces

弱點掃描工具有哪些？5款免費、付費弱點掃描工具優缺點分析！

如何設定網站CDN？推薦公司企業使用CDN加速的4大原因！

如何應對邊緣節點的網路攻擊？在 CDN 邊緣節點建立防護系統！

如何測試網站安全？OWASP工具測試弱點掃描的功能服務解析！

如何防禦DDoS攻擊？推薦這4大DDoS防護方法，避免網站被駭！

Google Cloud 初學者指南：我該將服務運行在哪呢？

雲力橘子串聯執法機關、資安廠商與風險顧問引導企業降低遇駭危機

企業需要SOC資安監控嗎？如何評估？看懂SOC監控的5大功能！

Multi CDN是什麼？為什麼要融合CDN？其應用方法與原理一次知！

如何利用CDN內容傳遞網路讓網站加速？4大優勢與趨勢分析！

DDoS攻擊怎麼防禦？DDoS攻擊手法與資安供應商挑選一次搞懂！

為什麼網站速度慢？和網頁設計有關嗎？速度慢會造成什麼影響？

如何提升企業雲端防護力-Cloud Armor

雲力橘子 2023 首發論壇，揭示藍隊能力升級、 開發／資安磨合的奧妙心法

2021 OWASP Top 10 A09資安紀錄與監控失效

2021 OWASP Top 10 A10伺服器請求偽造

安全防護：Web Application Firewall 設定教學

雲力橘子 2024 首發 Hacker Talk 論壇，破解資安求職與無人機資安盲點

騰訊雲CCN雲聯網手把手配置高效穩定企業跨境全球互聯

發現手機被追蹤怎麼辦？注意這十大被駭徵兆，手機資安恐不保！

雲力橘子 2023 首發論壇，揭示藍隊能力升級、開發／資安磨合的奧妙心法

2022 雲力橘子 Hacker Talk 漂亮收尾，解構開發模式、弱點檢測之安全盲點

如何提升網站速度及效能？推薦先搞懂動態v.s靜態網站的差異！

從零基礎學破解的駭客工具 Magisk Root，看懂駭客攻擊如何操作！