搜尋此網誌

2009年11月12日 星期四

[從電影看資安] 天上掉下來的帥哥 - 口是心非

電影 口是心非 講的是商業間諜的故事,雖然評價有點兩極,但是有別於一般電影結局時主角們總是能夠來個奇蹟式的逆轉勝,口是心非的結局顯得有趣多了。雖然商業間諜的目標不一定是數位形式的資訊,但是以現今的商業環境而言,很多重要資訊都已經變成了數位的形式。由此衍生一個很重要的問題,資訊安全的範圍在哪裡?如果將數位資訊與傳統 (非數位) 資訊分開看待,那麼兩邊能否達到相同程度的保護是必須詳加確認的。另外一方面,如果將兩者一併看待,那麼負責單位的權責又該如何重新界定?這些問題沒有一定的標準答案,但是每個組織卻都必須找到一個最適合自己的平衡點。

此一議題我先在此打住,我今天要分享的是另外一個資訊安全的議題 - 社交工程。電影中有一幕是男主角這邊發現敵方陣營有一個獨立的辦公室,這個辦公室主要負責處理公司的出差及與旅遊事宜,其安全措施自然與總公司不可相提並論。但是對作戰而言,任何資訊都是不可放過的,所以男主角這邊決定前往竊取一些相關資料。男主角在電影中利用社交工程的手法,假裝在一個酒吧裡與該辦公室的女職員不期而遇。男主角表示自己因為來不及趕上飛機前往參加救助行動而煩惱不已,此時女職員自告奮勇提供協助,將男主角帶進辦公室前往處理班機的事宜。當然這一舉動,讓男主角取得了大門的密碼,之後順利取得所需的資料。

男主角與女職員不期而遇,而且”剛好”是鄰居。背景調查當然不可少。vlcsnap-2010-03-17-09h23m04s71

男主角不自主地透露出需要協助的困境。vlcsnap-2010-03-15-18h05m57s43 

女職員帶著男主角前往辦公室,女職員還有些基本概念,要求男主角不要偷看她的密碼。不過講歸講,男主角不但用眼睛看,還用手機拍了下來。vlcsnap-2010-03-15-18h07m46s6 

女職員的”善行”被發現後,即使已經知道這是一場騙局,女職員依舊深覺能夠幫助別人並獲得男主角的感激是很美好的一件事。vlcsnap-2010-03-15-18h10m55s155

這是一個很典型的社交工程手法,通常社交工程可以分成四個步驟:

  1. 研究目標組織,也就是片中的敵對公司。在片中男主角的陣營了解到這個獨立辦公室的存在與價值。
  2. 選定目標,也就是片中的女職員。
  3. 發展關係。以片中的情形而言,就是無助的帥哥醫生與寂寞芳心的女職員。
  4. 利用關係達到目的。以片中情形而言就是進入辦公室並取得門鎖的密碼。

雖然第四個步驟才是主要的目的,但是前三個步驟可是一點都不能馬虎。唯有確實做好前三個步驟,才能確保第四個步驟一舉成功。通常在第三個步驟會有各種不同的可能性,包含假冒高階主管、協力廠商、無助的路人、凶狠的惡徒、迷人的異性等等,利用這些假冒的身分並搭配上人性的弱點,以求順利達成目的

社交工程是一個很有效,也很難防範的攻擊手法。或許聽起來不如 XSS、Zero Day Attack 這些名詞這麼炫、這麼讓人覺得高深,但是其所造成的危害卻是令人不可小覷。要避免遭受社交工程手法的攻擊,除了一般性的防範措施外,最重要的就是有效的員工資訊安全教育訓練,提高所有員工對於異常事件的警戒心,以避免成為有心分子手中的待宰羔羊。此外,就像詐騙集團會不斷改變手法一樣,社交工程也沒有固定的形式,所以持續性的教育訓練更形重要。下次當你遇到天上掉下來的帥哥/美女時,你不需要拒他於千里之外,但是也千萬別失去理智,做出了平常不該做的事情。

沒有留言:

張貼留言

About