在數碼時代,網絡安全已成為大眾關注的焦點,然而,僅依賴技術防護往往不足以應對日益精密的網絡攻擊。社交工程攻擊(Social Engineering Attack)正是一種利用人性弱點,繞過高科技防禦的常見手法。這類攻擊並非單純利用電腦漏洞,而是透過心理操控、信任建立及情緒引導,誘使受害者主動或無意間洩露敏感資訊、登入憑證,甚至協助攻擊者登入系統。
社交工程攻擊的運作,通常可分為四個主要階段。首先,攻擊者會收集目標人物的個人資料,進行詳盡的背景調查、社交媒體動態、職務背景等,從而設計出針對性的「劇本」。接著,攻擊者會透過電話、電郵、即時通訊、社交平台,甚至以面對面的方式接近目標,並以各種理由建立信任,例如冒充公司 IT 支援、管理層、銀行職員等,讓目標放下戒心。當信任建立後,攻擊者便會進一步操控目標,誘使其點擊惡意連結、下載病毒檔案、提供登入資料,或執行其他有利於攻擊者的行動。最後,一旦目的達成,攻擊者會悄然消失,並盡可能抹除所有痕跡,令受害者難以追查。
社交工程攻擊之所以屢屢得手,關鍵在於攻擊者善於利用人類的心理弱點,如恐懼、貪婪、好奇心或急於幫助他人的心理,例如網絡釣魚(Phishing)攻擊會偽裝成銀行、電郵服務供應商等可信機構,發送帶有惡意連結或附件的訊息,誘使受害者輸入帳號密碼或下載病毒。另一種常見手法是「魚餌」(Baiting),攻擊者會以免費軟件、禮品或重要文件為誘餌,吸引受害者下載間諜軟件,或插入受感染的 USB 裝置。
近年,社交工程攻擊的手法愈趨精密,甚至能夠繞過多重認證(2FA)等先進保安措施。以早前的 Gmail 攻擊事件為例,黑客成功繞過了 Gmail的多重認證(Multi-Factor Authentication, MFA),針對特定用戶發動精準攻擊。這宗事件的攻擊流程,充分展現了社交工程攻擊的威力與複雜性,並提醒我們,即使是最先進的保安措施,如多重認證,亦無法完全抵禦社交工程攻擊,因為攻擊者已將目標鎖定於「人」這個環節,而非單純的技術漏洞。
要有效防範社交工程攻擊,除了加強技術防護外,提升用戶的安全意識同樣重要。企業及機構應定期為員工提供網絡安全培訓,教導他們識別可疑訊息、避免點擊來歷不明的連結、切勿隨意下載附件,並養成查證訊息來源的習慣。個人用戶亦應保持警惕,切勿輕信陌生訊息,定期檢查帳戶登入紀錄,發現異常即時更改密碼及通知相關機構。面對這種威脅,唯有提升安全意識,並將技術與人為防護結合,才能有效降低風險,守護個人及企業的數碼資產。
