Hahow 好學校

資安稽核、ECIH 資安危機處理員認證、資安規劃、ECSA 資安分析專家認證、資安技術、ECSS 資安基本認證、資安監控、資安管理、網路資安、EDRP 資安災害復原專家認證

Hahow 小蛙編輯

創作內容編輯

2022/08/30

電玩大廠 EA 被駭!駭客偽裝員工直接要密碼,該怎麼防禦?

電玩大廠「美商藝電」 (Electronic Arts, EA) 日前遭到駭客入侵,盜走約 780G 的遊戲程式碼在網路上販賣, 其中包含「 FIFA 21 」以及「戰地風雲 (Battlefield)」系列所使用的遊戲引擎 Frostbite 都被偷走,可以說是損失慘重。最令人驚訝的是,雖然是入侵電玩大廠,駭客使用的手法並不複雜,可以說幾乎是靠「人」進行「詐騙」。
筆者 Jayden Lin,任職於 Yahoo,喜歡將實用的軟體知識以簡單生動的方式講給大家聽。
大部分的網路上的內容只說明單一案件駭客攻擊的方式,本篇文章將講解實務上怎麼防禦這類「詐騙」型的攻擊,怎麼利用一些「主動」的防禦,來避免人性的弱點,也會分享駭客進行詐騙的技巧(利用好奇心、愧疚感等等手法),讓你有深入的了解,不讓駭客偷走你辛苦的成果!
駭客怎麼做到的?談社交工程攻擊
駭客聲稱他們先花費 10 美元購買 EA 員工外洩的 Cookie ,再用該 Cookie 登入 Slack 聊天室,直接向公司的 IT 人員索取更高的權限,最終成功偷走了程式碼。電玩大廠「美商藝電」幾乎是直接將資料雙手奉上。
這類靠「人」進行「詐騙」的手法,在駭客手法中的專有名詞為「社交工程 (Social Engineering)」。
🔹 社交工程的定義
駭客透過操縱人的心理 (psychological manipulation of people),來欺騙對象進行某些行動 (actions) 或是洩漏機密資料 (divulging confidential information)。
🔹 社交工程的常見技巧
(1) 多來源拼湊偽裝對象
駭客會從許多不同的來源來拼湊他想要偽裝的那個人,可能是從社群媒體、公司官網、新聞媒體揭露的資訊,甚至從黑市取得個人資料等等。以「美商藝電」的例子,駭客便是購買先前已經外洩的 Cookie 當作起點進行攻擊。
(2) 佯裝認識公司內部人士
簡單來說就是「裝熟」,假裝自己認識某某某,從詐騙對象身上騙取信任感,甚至是假裝認識公司高層來對詐騙對象施加壓力。
(3) 利用好奇心:假意提供有用的資訊
駭客可能會假裝提供有用的「密碼修改提醒」、「技術分享講座」、「行銷技巧講座」、「節稅講座」等看似有用的資訊,來騙取你的資料,或是當作聊天的切入點來騙取信任。
(4) 利用人性的愧疚感 (Guilt tripping)
駭客會假裝手機遺失,或是假裝忘記密碼,利用人性本善,如果不幫忙的話會產生愧疚感,用愧疚感來向對方進行壓迫。
詳見原文>
0 0 1503 0