技術新知-駭客大騙局:社交工程

在電影「神鬼交鋒」裡，主角利用各種與人互動的機會，取得所需的資訊，成功的偽造支票，並當上飛行員。這樣的犯罪手法就稱做社交工程（Social Engineering）。利用人性本善的弱點

社交工程是利用人性本善的弱點，去刺探出各種所需的資訊，首先可能從不重要的員工姓名和分機號碼下手，然後一步步刺探出重要的資訊。一個蠻好玩的例子是算命網站，只要輸入身分證字號就可以算命，筆者就曾收到許多封轉寄的郵件，說明這是另類的算命方式，相信有不少人會信以為真，但這只是用來騙取你的身分證字號。

最近，社交工程也被廣泛運用在病毒上，例如，Sobig假裝是微軟與雅虎技術部門的電子郵件；Mimail偽裝信用卡付款機制的廠商；Lovgate則會假冒收件者，自動發信回覆給寄件者；今年初出現的MyDoom也是社交工程的一員，它會假冒退信通知，誘騙使用者上當，導致病毒上身。保密防諜，人人有責

儘管許多企業高層對員工信心滿滿，相信他們不會洩漏相關的資訊，卻也小看歹徒騙人的功力。如果你有印象，就連大學教授都曾被騙去自動提款機轉帳。

企業如何防範社交工程犯罪呢？

首先，要讓員工了解社交工程的相關知識及危險性。如果想對社交工程有更進一步的了解，我們推薦「駭客大騙局」這本書，作者駭客凱文米尼克介紹各式各樣的社交工程手法，並教導企業如何預防駭客入侵。

接下來就必須制定相關的管理措施，例如禁止員工隨便透露帳號與密碼，或說出公司的重要資訊。雖然這說起來很容易，但做起來就沒那麼簡單，以帳號密碼為例，只要走一圈辦公室，應該就會發現不少人的電腦螢幕上貼著帳號與密碼的紙條，只因為他記不住或是貪圖一時方便。

下次你要透露自己和公司的相關資訊，先想一下，你有可能會成為社交工程的受害者。文⊙陳世煌