前言
「科技始終來自於人性」這是知名手機廠商 Nokia 最廣為人知的一句廣告詞,很簡潔,但很深入人心,朗朗上口,時常被引用。最古老的詐騙手法,搬到現今的科技時代還是可以存活得下來,因為那些詐騙手法,巧妙地利用了人性的瑕疵及不完美。
今年去中心化金融歷史上最大的搶劫案之一,就是使用 LinkedIn 上的工作機會,再透過精心設計的社交工程攻擊,盜走了價值 6.2 億美元的 Ether (ETH) 和 CircleUSD (USDC)。
Axie Infinity 是什麼?
Axie Infinity是一款基於區塊鏈技術的遊戲,讓玩家們可以在 Android 手機、iPhone 和 PC 上玩的遊戲。2018 年由越南開發商 Sky Mavis 推出,在 2020 年 11 月時將 AXS 代幣加入 Axie 生態系讓玩家可以透過在他們的平台上贏得戰鬥和錦標賽的勝利而取得 AXS 代幣和 SLP 代幣形式的獎勵而聲名大噪,進而引爆區塊鏈遊戲 (GameFi) 熱潮,帶領了一波 Play to Earn( 邊玩邊賺)的模式,成為史上首個「銷售額破10億美元」的區塊鏈遊戲,是所有區塊鏈同類型項目中的佼佼者。
Axie Infinity Shards (AXS) 是 Axie Infinity 平台背後的治理代幣,而 Smooth Love Potions (SLP) 是實用型代幣,AXS 代幣已從高點的160美元持續下跌,Axie Infinity的黑客事件後,跌破40美元,現在持續探底中。
LinkedIn 是什麼?
LinkedIn(領英) 是全球最大的商務社群網站,人們不但使用 LinkedIn 來找到合適的職缺或實習機會、建立人脈連結和強化專業關係,並且還可學習在職涯上所需要的技能、吸收產業最新資訊和開發業務機會。
尤其是歐美國家的專業人士們,LinkedIn(領英)是他們找工作的第一選擇,而全球的使用者也很容易可以跨區域地,找到其它國家的工作機會,特別是近幾年來,新冠疫情的蔓延及擴散,LinkedIn(領英)幫助連結了更多人才及工作機會。
社交工程是什麼?
社交工程,英文為 Social Engineering,是以影響力或說服力來欺騙他人以獲得有用的資訊,這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。
社交工程攻擊往往是利用人性弱點,或是長期觀察受害者的習慣或喜好,因此受害者很容易就會落入社交工程攻擊的陷阱中。
詐騙過程
如果你聽說駭客們把你所有的資訊分門別類,放入一個有上百萬個條目的表格裡,凖備賣給出價最高的網絡罪犯時,你會作何反應呢?現今世界上有數以萬計的資料公開出來,方便相關利益單位或組職利用,而現在主流的方法是,各個不同平臺,使用API (Application Programming Interface)串接,用以抓取公開出來的資料,而惡意的駭客們可以使用這些公開資料,用於發動對高層目標(比如公司老闆)或有管理權限的帳號的駭客攻擊。
據
報導,駭客們在 LinkedIn 上創建了幾個非常有吸引力的工作機會,這些工作機會針對 Sky Mavis 團隊的開發人員發送,而Sky Mavis 團隊的一些成員,隨後回應了工作邀請,並參加了與 駭客們的視頻通話面試,這些面試的目的是取得開發人員的信任,隨後,通過電子郵件向參與面試的開發人員,發送了包含剩餘職位空缺資訊的完整 PDF,不過這些加工過後的 PDF,滲透了開發人員的機器,並為駭客獲取有價值的數位資產,最後竊取了6.2億美元的加密貨幣。
資安公司 ESET 發佈了一份調查,顯示朝鮮的駭客組職「Lazarus」使用 LinkedIn 和 WhatsApp,冒充人資人員,目標是航空航太和國防承包商,另一家網路安全公司 eSentire也表示,一隻名為「more_eggs」的惡意軟體正潛藏在冒充求職者的履歷中,假如企業人資人員打開履歷中的附件,惡意軟體將自動安裝,並開始進行滲透攻擊行為,根據 The Block Research 的資料,今年 DeFi 駭客攻擊的速度迅速加快,損失的資金總額超過 20 億美元。今年 1 月 1 日時,這個數字為 7.6 億美元,不論是像我們的專業人士、企業人資人員或招聘顧問們,在找尋工作機會或物色面試者時,都要比以往更睜大眼睛。
要如何防止社交工程攻擊呢?
- 加強人員資安教育訓練
- 安裝端點或網路閘道端的防止社交工程攻擊軟體,以掃描所點選的連結是否為惡意連結。
- 不要直接開啟郵件中的附件,因為社交工程攻擊往往會偽造電子郵件夾帶惡意程式,可經由掃毒軟體掃描後,確保無惡意程式再進行開啟。
- 不要直接點選郵件中的連結,可以先平時使用之瀏覽器所儲存的正確官網進行確認。
結論
聽過無數場技術方面的講座,如5G通信、雲端運算或物聯網等,有些講者會在演講的最後一段,特別提醒聽眾,資訊安全的重要性,有些講者雖然沒有明說,那是因為他們認為,資訊安全的知識是基本中的基本,是每位技術從業人員應該要有的基本認知,但專業人士可能擁有精深的技術能力,系統有嚴謹的安全機制,有即時監控的網路控管,不過,往往在面對人性的弱點下,紛紛失守,這就是為甚麼傳統上只重視資訊安全軟體和硬體的公司,開始將部分安全投資轉向針對加強全體員工的安全意識上。