2015年8月11日星期二
作者:
Eric Kuan, Webmaster Relations Specialist, Yuan Niu, Webspam Analyst
網路詐騙
人們所熟悉的網路詐騙是最常見的一種社交工程技術。具體來說,網路詐騙網站和電子郵件會藉由仿冒合法網站,誘騙您在這些網站上輸入使用者名稱和密碼之類的機密資訊。
Google 近期的研究
顯示,有些網路詐騙網站的成功率可達到 45%!
當這類網站取得您的資訊後,可能將您的資訊出售,也可能用這些資訊來操控您的帳戶。
其他社交工程攻擊手法
如果您是網站擁有者,那麼除了網路詐騙之外,還有其他更多的社交工程攻擊手法必須注意,
比如針對您網站上使用的軟體和工具進行攻擊。如果您需要下載或使用任何
內容管理系統
(CMS)、
外掛程式或附加元件
,這些項目必須來自
可信的來源
,例如開發人員的網站內容。來自不可信任網站的軟體可能含有惡意漏洞,容易讓駭客入侵您的網站。
舉例來說,
「小布的寵物皇宮」最近聘請了網站管理員小王來幫忙架設網站。小王做了一些設計後,便開始著手收集架設網站所需的軟體。這時,他發現自己愛用的外掛程式 Photo Frame Beautifier 已經從官方 CMS
外掛程式網站
下架,開發人員也已停止支援該外掛程式。於是,他很快地又找到了一個提供舊版外掛程式封存的網站,並且下載當中的外掛程式來架設網站。兩個月後,小王收到了 Search Console 的通知,指出他客戶的網站
遭到駭客入侵。當他快速修正遭入侵的內容時,也發現了問題的來源。原來,他所用的 Photo Frame Beautifier 外掛程式已遭到第三方修改,成為了惡意人士入侵網站的漏洞。
在移除外掛程式、修正遭入侵的內容,
並且針對日後可能受到的攻擊採取預防措施後
,小王在 Search Console 中提交了重審要求。如上所述,您可以看到正是因為小王的
無意
疏忽,才造成客戶的網站遭到入侵。
防範社交工程攻擊
社交工程是一種很有效的攻擊手法,因為落入這類陷阱的使用者很難發現不對勁的地方。為了防範社交工程陷阱,您可以採取下列基本策略。
- 保持警惕 : 每當您在網路上輸入機密資訊,或是安裝網路軟體時,最好秉持合理懷疑的態度。先檢查網址 ,確定您不是在惡意網站上輸入機密資訊。 安裝網站軟體時,也必須確認軟體來自已知的可信任來源,例如開發人員網站。
- 使用雙重驗證 : 使用雙重驗證 (比如 Google 的 兩步驟驗證 ) 可為您的帳戶安全再添一層防護,即使密碼遭竊也不至於造成損失。建議您盡量為所有帳戶啟用雙重驗證功能。我們會在下週更詳細地說明雙重驗證的優點。
更多社交工程相關資源:
張貼者: