某天早上,人在度假的琳達剛從澀谷大街回到她的飯店,此時她從手機上收到了一封訊息:
「嗨,琳達,我是總部行銷組的組長,最近聽凱恩說你的技術能力很好。希望沒有打擾到你這次在東京的假期。很抱歉臨時連絡你,因為我們最近有個蠻臨時的計畫,我本來是想請他幫忙,其實這項計畫我們本來不希望讓太多人知道,但凱恩和我推薦說,你離開他的部門之前,曾提出一個叫做藍天計畫的提案,很適合這次的計畫。因為我們需要在這個月底前就找到參與這個計劃的新夥伴,而且如果順利的話,可能要安排你轉到總部,所以只好在你的假期中打擾你。方面在這兩天約個時間開遠端示範給我看看嗎?」
於是,琳達開了遠端連上自己的雲端硬碟,找出了先前的資料,當天晚上向對方報告。她一邊在遠端示範,一邊用語音向對方簡報。
「聽起來有個部份覺得有點疑慮,你開一下權限,我想實際操作看看。」
在對方的幾次引導下,琳達終於完成了這場簡報。
「好,我會在總部這邊提案看看,如果可以就安排你在假期結束後,就開會進一步向總部報告。」
於是假期結束後,對於從天下掉下來的機會感到興奮不已的琳達,滿懷希望地回到辦公室那天,她就丟了工作,因為整間公司在她這場「會議」之後,損失了價值上百萬的機密資訊。
琳達不知道的是,她在哪間公司就任、現在正在度假、哪時候加入新團隊、哪時候在拚新提案,這一切她都曾貼在社群網站上。甚至她的「好友」當中,早就有偽裝是其他單位同事的假帳號了,就連她很想轉調到國外這件事情,對方都一清二楚。
對於資安界來說,這種稱為社交工程(Social Engineering)的手法不是什麼新鮮事,但是許多人卻仍渾然不知自己對外有意無意揭露的資訊有多少。
事實上,這甚至只是社交工程的其中一種手法。
2021年的一份調查報告指出,在美國有93%的人會在社群媒體上分享自己的工作資訊,其中有36%的人會揭露工作內容,26%的人會提到同事或客戶。
同時,同樣也有很多人會在自動回信當中寫出自己的假期時間、地點,因此,也讓人能夠反過來操作:「我現在人在曼谷,沒辦法用公司網路,你能開遠端給我嗎?」
甚至,就在同一份報告中,調查發現有將近一半的人不會留意寄信來的人究竟用的是不是公司信箱。
如今,各式各樣的社群媒體已經是我們生活的一部分,不論是專門展示工作能力的領英還是私人的臉書、IG,甚至只是二十四小時的限時動態,也早就多次被證明只要輕易截圖就能變成眾所皆知的新聞。
不久前,賭城最大的美高梅酒店集團,據說就是被擅長這種手法的犯罪集團滲透了。雖然整件事情究竟怎麼發生的仍不明瞭。在一張號稱是犯下此次案件的犯罪集團的聲明中表示,在米高梅將系統關閉前,他們根本沒有用到勒索病毒。就有熟悉該犯罪集團的人指出,他們擅長的就是社交工程,很有可能就是利用這樣找到破口入侵。
當然,這不代表你不能用社群軟體,而是要問你,你知道自己在做什麼嗎?
你隨時都要很清楚,在網路上,即便是公司內部的網路,都要很清楚知道釋出了什麼樣的資訊。
你貼出的照片,很可能告訴別人你現在所在的位置、身邊的人、所做的事情,照片上的細節甚至可能就是駭客的後門。
你在社群軟體上所寫的內容,究竟權限開放給多少人看呢?
你發出的截圖、畫面,手機拍到的照片,上面是不是有任何不該有的資訊?
你的好友名單你都真正認識而且信任,是可以讓他們知道的嗎?
對方說的話,能夠相信嗎?會不會對方也是被誤導了呢?
和你在工作上聯繫的人,你都有再次透過工作上的管道確認過嗎?
社交工程甚至是可以有踏板的,許多人會覺得工作用的信箱,不論是免費信箱也好、公司信箱也罷,信箱本來就是聯繫用的,讓人知道應該沒有關係吧?
可是,現在大多數時候,信箱常常就是帳號,甚至許多人信箱與帳號用的是一樣。
如果選擇的密碼不夠強,對方可以輕易透過嘗試的方式登入,這時候就已經打開了第一扇門讓對方進來。接著,許多人習慣要發信給一群人就乾脆發信給全公司,於是,他就能夠輕易看到理論上只有公司內部的人才知道的訊息。
還記得《頭號玩家》是怎麼說「密碼貼在座位上」這件事情的嗎?
除此之外,現在人們常用通訊軟體來聯絡公務,可是很多時候,你根本不知道群組裡面有誰,是不是有早就被破解的帳號,是不是有假帳號混在新人裡面被加進來。尤其是這兩年疫情後,許多人已經習慣很多人會採用遠端的方式工作,即便不見面也是理所當然的,這更是讓駭客可以輕易戴上面具混進來。資訊越來越雜亂的情況下,以假亂真的機會也越來越多,越來越難以查證。
事實上,大多數時候,新人是最容易被社交工程當成目標的對象,因為剛進公司或轉調的新人,很可能對於人事布局都還不清楚,尤其是越大的公司,你越不知道上頭有哪些人,更不敢違抗或質疑上級的命令,也不知道要找誰確認,更不知道哪些資訊是機密的,哪些門是是不能隨便開給別人的,於是,就成了完美的待宰羔羊。
看過電影裡面,主角帥氣的以側寫的方式把別人的生活習慣追蹤出來,然後策畫犯罪計畫嗎,如果對象是你,恐怕就不那麼帥氣了。除了工作以外,家人、親友也同樣是犯罪集團眼中的金礦。過去常有笑話是詐騙集團打電話來的時候,電話中,坐在自己身旁的兒子哭訴自己被綁票了。然而,現在越來越多人習慣在社群網站上曬小孩,甚至許多人藉此小有名氣,可是當越來越多人認識你的孩子,未來你就會越難以分辨究竟網路另一端和你對話的人,是不是真正的家人。
在先前的文章中,我在討論韓國科幻驚悚電影《原本以為只是手機掉了》時提過:
女主角之所以沒有警覺性也是如此。其實某種程度上就像是資安宣傳常說的一樣,很多人會對於資訊安全都沒有警覺性,我的手機相機開權限有什麼關係?麥克風開權限有什麼問題?位置分享有什麼差嗎?我又不是什麼身懷大機密的龐德,怕什麼呢?
其實就是一樣,韓國版的《原本以為只是手機掉了》當中,雖然主角是因為掉了手機而被入侵,實際上很多時候,現在的駭客不用拿到我們的手機,就已經有足以取信我們的資訊了。甚至常常在登入一些不知名的免費軟體、免費網站的時候,很多人就會習慣直接用工作的社群軟體帳號連結登入,省下申請會員的繁瑣手段。
要怎麼快速知道自己究竟告訴大家多少事情呢?
最簡單的方法就是打開無痕模式,直接在搜尋引擎中搜尋自己。
即便是需要登入才能查看的社群網站,現在也因此大多數有供檢查用的檢視者版本。像是臉書就有一系列教你如何檢查用的頁面,只要在【設定和隱私】當中找到【隱私設定檢查】,一步步照著指示做就可以了。
當然,相信很多人也會用個不同的帳號進行檢查。甚至最好就是不同的用途有不同的帳號,並且各自用安全的密碼區隔開來。
方法很多,最重要的是,你要想像自己是個懷有惡意的第三者,再看看你查到的一切內容,問問自己:你覺得看到的所有東西都是可以讓別人知道的嗎?
最後,你身邊的人也都知道這些事情嗎?
當你看到身邊的人貼了這些訊息的時候,不妨善意地提醒一下對方,當我們都有所警覺之後,社交工程的犯罪成本自然就會上升,也就會因此減少。