最難防禦的攻擊,不需要任何技術
2020 年 7 月,Twitter 的內部管理系統遭到入侵。攻擊者同時控制了 Barack Obama、Joe Biden、Elon Musk、Apple 官方帳號在內的超過一百三十個高知名度帳號,用這些帳號發布加密貨幣詐騙推文,在幾個小時內騙取了超過十萬美元的比特幣。 這場攻擊的技術核心,不是任何複雜的漏洞利用。 攻擊者打電話給 Twitter 的員工,假冒 IT 部門人員,聲稱需要協助進行內部系統的帳號驗證,引導員工在一個釣魚頁面上輸入自己的工作帳號憑證。幾個員工信了,攻擊者就取得了進入 Twitter 內部工具系統的存取權限。 整個入侵過程,從電話打出去到完成,估計不超過幾個小時。
社交工程攻擊的核心邏輯
社交工程攻擊利用的,是人在特定情境下的幾個可預測的心理反應: 權威服從 當一個人相信指令來自有權威的來源,例如 IT 部門、主管、銀行客服,他們在執行這個指令之前,會大幅降低對指令本身合理性的審查。攻擊者透過偽裝成權威角色,讓目標在沒有充分思考的情況下完成他們需要的動作。 緊迫感製造 帳號將在三十分鐘內被鎖定、系統正在經歷攻擊需要立即處理、你的包裹今天必須確認否則退回,這些緊迫感的設計目的只有一個,就是讓對方來不及冷靜思考就採取行動。 信任建立再利用 部分社交工程攻擊不是單次接觸,而是先花時間建立可信度,在取得信任之後才提出真正的要求。對方可能已經和你有過幾次正常的互動,讓你相信他是真實的,然後在某個特定時機點提出需要你配合的要求。
幾個真實發生過的企業入侵案例
Uber 2022 年資料外洩 2022 年 9 月,一名十八歲的攻擊者成功入侵了 Uber 的內部系統,取得了對多個關鍵系統的存取權限,包括 AWS、Google Cloud 環境和 HackerOne 的漏洞回報資料庫。 入侵的起點,是在暗網購買了一名 Uber 承包商的帳號憑證,然後持續傳送多因素驗證的推播通知給那個員工,在對方因為疲勞接受了一個推播之後,攻擊者取得了初始存取權限,再透過內部系統找到了包含更高權限帳號憑證的設定檔案。 MGM Resorts 2023 年攻擊 2023 年 9 月,MGM Resorts 遭到勒索軟體攻擊,拉斯維加斯多個賭場的系統停擺超過十天,估計損失超過一億美元。 攻擊者在 LinkedIn 上找到了一名 MGM 的 IT 員工資料,打電話給 MGM 的服務台,假冒那名員工請求重置帳號存取權限。服務台在沒有充分驗證身份的情況下配合了這個請求,攻擊者就此取得了進入企業網路的入口。 整個初始入侵過程,據報導只花了大約十分鐘的電話。 Twitter 2020 年(前述案例的延伸) 這起事件的後續調查揭露,參與攻擊的其中一個主要人物當時只有十七歲,住在佛羅里達州。他透過一個加密貨幣社群認識了其他攻擊者,整個計畫從溝通到執行大約花了幾天時間。 這三個案例有一個共同點,就是最終讓攻擊成功的,不是技術能力,而是一通電話或一則訊息中人對另一個人的信任。
為什麼技術防禦無法完全解決這個問題
防火牆、多因素驗證、端點安全軟體,這些技術工具在應對傳統的技術攻擊時是有效的。但當攻擊者的目標是說服一個真實的人去執行一個看起來合理的請求,這些工具大多數時候都站在攻擊路徑的旁邊,而不是中間。 這不代表技術防禦沒有意義,而是說社交工程攻擊揭示了資安防禦中一個無法純粹用技術解決的層面,就是人的判斷。 對企業來說,降低社交工程攻擊風險的核心不是買更多工具,而是讓員工真正理解這類攻擊是如何運作的,以及在收到任何要求提供憑證或執行敏感操作的請求時,有一套不受情境壓力影響的驗證流程。 對個人使用者來說,了解這類攻擊的邏輯,就是最有效的防禦基礎。當你下一次收到一封製造緊迫感的官方通知,或是一通要求你立即提供帳號資訊的客服電話,這些案例的細節可能會在那個瞬間讓你多想一秒鐘。而那一秒鐘,往往就是差別所在。 延伸閱讀:假客服真的會主動聯絡你嗎?常見冒充官方客服的詐騙手法整理
關於社交工程攻擊,資安從業者與一般使用者最常問的幾個問題
企業已經有資安意識培訓,為什麼還是會被社交工程攻擊成功?
資安意識培訓提供的是知識層面的準備,但社交工程攻擊利用的是人在真實壓力情境下的即時判斷,而不是知識的缺乏。研究顯示,即使是接受過完整資安培訓的員工,在面對足夠逼真的社交工程情境時,仍然有相當比例會配合攻擊者的要求。 差別在於,接受過培訓的員工在事後更快意識到發生了什麼,回報的速度更快,讓損失控制在更小的範圍內。培訓的真正價值不只在於防止攻擊發生,而在於建立一個讓異常狀況能夠被快速識別和回報的文化。
個人如何確認一通電話或一封信件是否真的來自官方?
最可靠的方式,是掛斷電話或關閉信件,透過你自己主動查詢到的官方聯絡方式重新確認。關鍵在於這個驗證動作必須由你主動發起,而不是對方提供給你的聯絡方式。 官方機構、銀行或平台不會因為你要求重新確認身份而感到困擾,任何對這個要求表現出不耐煩或施加壓力的對象,本身就是一個明確的訊號。這個習慣看起來麻煩,但它在本質上切斷了社交工程攻擊最核心的依賴,也就是讓對方控制整個互動的節奏和緊迫感。
Deepfake 技術讓社交工程攻擊變得更難防禦了嗎?
是的,而且這個趨勢在過去幾年已經從理論層面進入了實際案例。2024 年,香港發生了一起利用 Deepfake 視訊會議詐騙企業財務人員的案例,攻擊者偽造了一場包含多個高層主管的視訊會議,要求財務人員執行一筆大額轉帳,損失金額達到兩億港元。 Deepfake 技術讓視覺和聲音的可信度不再是判斷真實性的可靠依據,這讓社交工程攻擊的難度門檻大幅下降,同時也讓傳統的要求視訊確認身份這個建議在某些情況下失去了意義。面對這個趨勢,企業層面需要建立不依賴單一人員判斷的授權流程,個人層面則需要對任何涉及金錢或敏感資訊的請求保持更高的驗證標準,不管對方看起來多麼可信。
One Key Takeaway: 社交工程攻擊的成功率之所以居高不下,是因為它攻擊的不是系統,而是人在面對壓力和權威時的判斷慣性,了解這個邏輯本身,就是最有效的防禦起點。