社交工程演練的小事

[社交工程演練是?]

現代人可能一整天都沒有一通電話、甚至家裡連電視都沒裝,但幾乎離不開網路,手機的普及讓更多以前不用網路的人都開始用網路了(長輩圖?!),所以詐騙郵件、利用通訊軟體假裝是你的朋友的案子也時有所聞了,舉凡這類利用好奇心或是社交關係鬆懈警覺性的手法都算是社交工程(Social Engineering)的範圍,也是很嚴重的資安議題。

個人遭到詐騙常見的損失是金錢,但企業遭到社交工程攻擊損失的可能就不只是金錢這麼簡單了,重要系統密碼、商業機密都有可能外流,甚至連一銀盜領案也用了社交工程的手法,簡單的方法,很大的影響,所以企業或政府可以利用社交工程演練來提高員工的警覺性。

[演練要做什麼?不就發一些釣魚E-Mail這麼簡單?]

想像一下,最簡單的作法就是製作一封令人好奇的E-Mail給全公司的員工,所有員工在同一時間會收到一模一樣的釣魚信件,當有一個人很警覺的發現這件事,就等於全公司的人都不會再被釣到了,如此一來本次的演練就等於無效了。

於是,改良一下,我們可以準備數個不同的郵件範本,題材涵蓋熱門新聞、新科技產品特價、生活小知識、全台遊玩景點,甚至假裝知名網站發信提醒「帳號疑似遭盜用請儘速修改密碼」等客製化郵件範本,再更擬真一點就以公司名義發送「開會通知」,將上述郵件範本隨機或分眾寄給不同員工。

就算員工收到不同的郵件範本,還是一定會有警覺性高的員工通報大家小心踩到地雷,所以又要改良一下:不要同時寄出所有演練信件,最好相同部門的同事彼此收到的時間都不一樣,如此一來就算有一個人通報大家,可能也因為時間久遠已經淡忘了。假設一個公司每年演練兩次,寄信的時間就可以拉長到半年,也就是第一個人和最後一個人收到演練信件的時間可能間隔半年之久了,如此可大大提高演練的效果。

演練期間結束後的重點是要呈現個人、各部門的警覺性給予主管們作為參考,由於演練的目的是提昇員工的警覺性,而不是用來監視、懲罰員工的,所以最常見的作法是請警覺性稍差的員工們來教育訓練,另一方面也可以從IT的面向防範,例如郵件軟體應該預設防止圖片下載、防止執行對外連結等。

[聽起來要處理的問題很多,有沒有提供服務的廠商?]

有的,除了自行搜尋社交工程演練服務廠商,也有國家級的評鑑可供參考(見補充),評鑑的過程除了派委員至廠商聽取簡報,也會發送問卷給廠商的客戶填寫,兼顧服務提供端的能量展示與服務需求端的真實體驗,滿符合現代人在採購商品前參考其他人開箱文、心得文的習慣。

[還有什麼事情要注意嗎?]

有時決策者為了要提高擬真、盡量測試員工警覺性,會偽裝成真實的公司通知信,但員工為了規避所有的演練,而不敢點開任何公司的通知信,反而減低了公司的效率甚至有擾民之嫌;或是演練郵件模擬知名購物網站、社群網站的通知信,也會有法律上的議題。

最後,執行演練的人如果發現最沒有警覺性的人竟然就是公司高層本身,要忠實反應現況嗎?這就不是本服務要討論的了……

 

補充:行政院104 年資安服務廠商評鑑結果

喜歡這篇文章嗎? 分享出去給作者一點鼓勵吧!