上回提要:老闆維基精選
守好公司保安,先可以放心發展生意。複習一下之前嘅實戰攻略:
「維基,我請咗個 IT 專家,裝晒最新嘅防火牆同防毒軟件,公司保安實冇問題啦!」
好多老闆都係咁諗,以為錢解決到嘅技術問題,就唔係問題。 我直接同佢講:「老細,你防到黑客用電腦技術撞門,但你防唔防到黑客直接騙你同事開門?」
今日老闆維基同你拆解黑客最鍾意、最落地嘅攻擊方式:社交工程攻擊 (Social Engineering)。
一、咩係社交工程攻擊?
講穿咗,社交工程攻擊就係「騙術」。
黑客發現,要攻破一個裝咗最新防禦系統嘅伺服器,可能要幾個月;但要呃一個忙緊嘅同事交出密碼,可能只要 5 分鐘。
佢哋唔係用程式代碼去 Hack 你系統,佢哋係用人性弱點去 Hack 你同事個腦。
二、3 種常見嘅「Hack 腦」騙術
1. 扮老闆出 Emergency Email (Business Email Compromise)
黑客會開一個同你(老闆)好似嘅 Email(例如把 boss@company.com 變成 boss@company-hk.com),然後 send 畀會計:
「我宜家喺機場開會,好急!快啲匯 $50,000 畀呢個供應商,否則筆貨會畀人扣起!返嚟先同你簽單。」
同事一見到老闆咁急,又驚做慢咗會畀人鬧,往往連電話都唔打個 Confirm,就直接匯咗錢。
2. 扮 IT 同事攞密碼
黑客打電話畀新同事或者 Reception:
「喂,我係 IT 部阿 Ben。我哋宜家做緊系統升級,需要你嘅密碼嚟確認個 Account 安全。你畀個密碼我,我搞掂佢。」
同事諗住 IT 人員係自己人,為咗幫手搞掂個系統,就乖乖交個密碼畀佢。
3. 用「派件失敗」短訊篤 Link
呢個係我哋最常講嘅「順豐騙案」。利用你等緊貨嘅心急同慣性,引你撳一篤 Link,然後你自動自覺入密碼。
三、點樣防範「腦袋被 Hack」?
防火牆擋唔到騙徒,只有制度同意識擋到。
第一步:停一停,Confirm 真偽
建立一個制度:任何涉及金錢、機密資料嘅要求,一定要透過第二個渠道 Confirm。
- 收到老闆急 Call 匯款?打個電話 Confirm。
- 收到 IT 人員攞密碼?掛線,自己打去 IT 部 搵阿 Ben Confirm。
第二步:建立「急你嘅,即係呃你嘅」意識
教同事:任何製造極度急迫感(例如「即刻」、「限時」、「逾期」)嘅訊息,先懷疑。騙徒就係要你急,你一急,個腦就會停。
第三步:開啟「雙重驗證」 (2FA)
社交工程攻擊嘅最終目標,往往係你嘅密碼。
如果你全公司開咗雙重驗證 (2FA),就算同事不幸被騙交出密碼,黑客登入時,系統仲要黑客輸入手機 APP (如 Google Authenticator) 嗰 6 位數。黑客冇你同事部手機喺手,佢一樣吹你唔漲。
四、總結:你間公司嘅保安,唔止係技術
騙徒嘅手法會不斷變,今日扮老闆,聽日可能扮客戶、後日扮銀行。但核心不變:呃你同事撳 Link 或交資料。
你間公司嘅保安,唔止係防火牆、防毒軟件,仲包括你同同事嗰個**「撳唔撳 Link」同「打唔打 Confirm 電話」**嘅決定。
今日放工前,同同事講一次呢個概念。或者,你間公司最弱嘅漏洞,唔係伺服器,而係你個同事個腦。
老闆維基語錄:
「防火牆防到黑客撞門,防唔到騙徒呃你同事開門。社交工程攻擊,賭嘅係你同事嘅冷靜。」
