社交工程

小偷，非強盜

步驟 1：不法分子或犯罪組織發出網路釣魚郵件，用入侵的 botnet 傀儡網軍機器或Yahoo或 gmail 等電子郵件發送社交工程信件至特定使用者。

New :本次目標式社交工程攻擊事件寄件人來自被冒用的內部員工帳號，內文宛若上層交辦事項，指示收件人開啟以Word 、PowerPoint 或 PDF等辦公室常用軟體為格式的附件檔。由於信件內容使用高明的社交工程巧，甚至能延續被冒用寄件者前一封信件討論的話題，所以多數人皆不疑有它。

步驟 2：收件人開啟附件之後，相關應用程式有漏洞的電腦便會被植入惡意程式下載程式 (Downloader)

New:以前的惡意程式植入程式(dropper)常見的是執行檔，現在改成每天上班都會用到的 WORD、Excel、Access、WinZip、RAR、PDF等應用程式檔案。

步驟 3：惡意程式下載程式 (Downloader)會不斷自網路下載新變種與自我更新，使得傳統防禦方式備受挑戰。

步驟 4：目標式社交工程攻擊者通常會安裝木馬後門程式於目標機器，便可進行鍵盤側錄等幕後秘密行動，有心人士擁有方便的管道，可在受害電腦連線的網路上監聽傳輸資料。

New：攻擊者入侵很多機器作為惡意程式下載點，為了避免輕易被偵測，也會在各個下載點利用JavaScript 轉址來提高偵測的難度，下載的惡意程式往往不是一隻，而是一群，因此很難全部一次清除。

IT 的挑戰：

目標式社交工程攻擊為某單位量身定做，先天就有樣本難以取得的困難點，加上感染源頭難以追蹤，使得重複感染機率大增。透過 Downloader 大規模的下載病毒群，數量龐大到甚至無法一次手動全部清除。除此之外，還有以下困難點：

-“不管怎麼更新病毒碼都會有有更新的惡意程式”

New：2005年，一天只有大約50種病毒特徵碼被添加到資料庫中，而2008年，該數字增加到了5000。由於惡意程式下載程式會一口氣下載了很多惡意程式，過去一個資安事件只要清除一隻病毒就沒事了，現在是要清除一群病毒，而且只清除其中幾隻於事無補，因為病毒群間相互監督，只要一隻不見了就會再滋生新的出來，就算通通清除了，只剩一隻，也會自我更新下載出很多新的變種。