Page 69 - 清流雙月刊 NO.37
P. 69

生活中的資安









            密碼給收款人,收款人就能憑藉英文姓名                                           螢幕側錄工具等),記錄受害者使

            及密碼進行提款。時至今日,全球已有相                                           用電腦行為,再進行下一步攻擊。
            當多利用西聯匯款而被詐騙的案例,警方
                                                                     以上要素不一定會同時出現,亦可能
            與銀行都無法追蹤及攔截詐騙款。
                                                                交互搭配使用,曾有僅憑單一內容即欺騙
                                                                成功的案例,造成受害者損失。例如,假
               社交工程郵件之包含要素
                                                                冒會議邀請信函,成功欺騙到受害者出門

                 以電子郵件來詐騙至少已有十年歷                                參加會議,加害者利用這段時間闖空門等。
            史,然至今仍有民眾上當,因為民眾輕忽

            或無知,易讓駭客達到欺騙目的。社交工                                    勒索軟體通常包裏著
            程電子郵件不乏利用聳動的郵件主旨、偽                                    社交工程郵件外衣

            造受害者熟悉的寄件者、以假亂真的郵件
                                                                     近幾年造成全球重大災情的勒索軟
            內容等等,試圖吸引使用者上鉤。社交工
                                                                體,大部分行為模式即透過社交工程電子
            程電子郵件中會有幾個要素,包含超連結、
                                                                郵件,讓受害者點擊後自動下載並執行一
            附件、圖片、郵件內容內嵌程式碼。
                                                                個看似無害的小程式,連線至外部中繼站

            ●         超連結:有可能會讓受害者連至                            下載勒索軟體主程式,此主程式會開始掃
                      攻擊者所架設之惡意網站,藉此                            描電腦所存文件 後加密,跳出警告訊息,
                                                                                 2
                      收集受害者相關資訊。                                指示受害者利用比特幣付款至指定帳戶以

                                                                換取解密提示。
            ●         附件:多含惡意程式,開啟並執

                      行後會潛藏在受害電腦裡,直接
                                                                  日本年金機構之個資外洩事件
                      將電腦內資料對外傳輸、偷偷側

                      錄用戶使用電腦的任何行為、接                                 若讀者認為,就算有人「運氣這麼不
                      續下載惡意程式至受害電腦再執                            好」開啟了社交工程電子郵件,造成傷害

                      行各項行為等。                                   也不過是個人財產及聲譽。其實損失的嚴
                                                                重性,絕非想像中的那般簡單。
            ●        圖片及郵件內容內嵌程式碼:能回
                      報給攻擊者表示「登陸成功」,更                                掌管日本全國國民年金的組織「日本

                      甚者直接讓受害者電腦自動從中繼                           年金機構」(相當於勞動部勞工保險局國
                      站下載小程式(諸如鍵盤側錄工具、







            2
               多為 Office 系列,以及 PDF 或 JPEG 圖檔等企業常見之檔案格式。



                                                                                                  No.37 JAN. 2022  67
   64   65   66   67   68   69   70   71   72   73   74