國內外近期低級的社交工程詐騙手法

「你的電腦被綁架了！你的銀行帳戶被盜用了！你的朋友已經往生了！」根據國外媒體指出，如今社交工程的詐騙手法，已經變得愈來愈無所不用其極，這些利用人們好奇心與情感的惡意行為，目的都是為了要獲得有價值的商業資訊與個人資料。

根據賽門鐵克2014網路安全威脅報告指出，魚叉式的釣魚攻擊目前已經蔚為主流，同時虛擬世界和真實世界的社交工程手法也融合在一起，讓這些詐騙行為的成功率大增。以下是最近出現的新型態詐騙手法。

手法一：透過網路釣魚來達成勒索目的

2013年最著名的加密勒索程式Cryptolocker，主要感染的對象是Windows作業系統，同時也包括檔案伺服器上所共享的檔案，勒索者通常要求500美元的贖金，或是支付無法追蹤的比特幣，才願意交出可以解密的金鑰。如果受害者遲遲不付贖金，那麼解密的代價就會不斷提高，甚至會進一步直接將檔案刪除。

如今，另外一個更厲害的模仿者CryptoDefense也出現了，它使用了更強健的RSA 2048金鑰，會將感染目標的文字檔、圖片檔、影像檔、PDF及Office檔案統統加密，同時也會刪除許多備份軟體所使用的Shadow副本。

手法二：針對信用卡資訊的互動語音攻擊

互動式的電話語音服務，也成為惡意人士嶄新的詐騙手法之一，歹徒利用從各種管道蒐集來的電話號碼，再透過完全自動化的語音系統，主動打電話給毫無防備的受害者，在大多數的情況之下，受害者因為擔心自己的信用卡被盜刷，就會依照語音的指示輸入相關資訊，包括信用卡號、有效日期和卡片背面的3位數安全碼，讓重要的個人信用卡資料落入壞人之手。

資安專家建議，千萬不要相信來電顯示的號碼，也不要依照語言指示進行任何的操作。最簡單的辨認方式是詐騙語音不會提到銀行或信用卡公司的名稱，如果民眾有任何疑義，就應該自己主動撥打信用卡背後所提供的服務專線，選擇和真人對談來進行查詢。

手法三：針對健康資料的魚叉式釣魚郵件

這種詐騙手法是詐騙集團會偽造由雇主或是健檢中心所發出的電子郵件，告訴受害者年度的健康檢查項目已經做了一些改變，他們將會提供更好的健康檢查內容給受害者和其家屬，然後要求受害者點選連結，以獲得更進一步的資訊。

因為電子郵件上面顯示了收件者的姓名，而且主旨是和受害者的健康福利有關，所以這一類型的電子郵件可以很容易的滲透進入公司，並且讓大多數的員工願意相信並點選連結，卻不知已掉入了詐騙陷阱之中。

手法四：利用通知親友死訊的釣魚手法

這種很低級的手法是偽冒葬儀社或生命禮儀公司的名義，以電子郵件通知受害者，告知某位遠方親友或同學已經往生，預定將在某天舉行喪禮和祭拜儀式，然後要求受害者點選所附的網站連結以獲得進一步的資訊。

這種手法的高明之處，在於所提供的連結是真正的喪葬公司網址，只是詐騙集團已經事先入侵網站並植入了惡意程式，只要受害者點選了連結，就會被引導至其他網頁而下載木馬病毒，最後讓受害電腦成為被控制的僵屍，作為跳板來造成更大的災難。

手法五：目前台灣流行的手機簡訊詐騙

隨著智慧型手機的普及，詐騙集團也開始利用手機可下載App和小額付費的特性，以各種不同理由傳送含有惡意程式連結的簡訊，一旦受害者不小心而點選，就會下載惡意程式或造成財物的損失。

最近流行的手法是謊稱手機用戶正在申請網上支付電費，並且附了一個短網址連結，告知可以點選查看或取消。一旦點選之後，所出現的網頁就只有「同意交易」和「取消交易」兩個選項，受害者在點選了取消之後，不到一個小時就會收到電信公司傳來的小額付款簡訊，進而發覺受騙上當。同樣類型的案例，還有假借「快遞簽收單」的名義，讓受害者誤以為購物的包裹送到了，點選簡訊上所附的連結簽收之後，收到電信帳單時才會知道自己被詐騙了。

對此，警方呼籲民眾收到陌生簡訊時，千萬不要直接點選簡訊內的網址，務必先打165反詐騙諮詢專線來進行查證。另外，如果使用的是Android智慧型手機，也要避免從Google Play以外的市集，下載未經安全審核的App，以免安裝了惡意程式。

以上提到的這些社交工程詐騙手法，不外乎都是圍繞在讓人恐懼、貪心及好奇心等事件，只要10封釣魚郵件中有一封成功，詐騙集團就會不斷地持續運用這些手段，迫使下一位無辜的受害者受騙上當。所以，一旦您心有疑慮而想採取任何行動之前，都要記得查證再查證，才能阻止詐騙事件的發生。