社交工程攻擊激增　勿下載來路不明軟體

日前微軟在其報告中公開指出，在所有視窗作業系統的用戶中，平均每下載14個程式裡，就有1個是惡意程式。法新社

日前微軟在其報告中公開指出，在所有視窗作業系統的用戶中，平均每下載14個程式裡，就有1個是惡意程式。雖然幾乎各大瀏覽器上都會適時跳出警告訊息，提醒使用者正在下載來路不明的軟體，但仍有約5%的使用者會忽略此項訊息而不幸下載到內含木馬病毒的惡意程式。

在早期瀏覽器漏洞還很多的時代，網路犯罪者要對瀏覽器發動攻擊並不難，並且使用者對於更新修補程式(patch)一事大多抱被動心態，並不常檢視是否有新的修補程式需要安裝。但隨著瀏覽器線上自動更新技術的推出，軟體業者能主動告知使用者更新訊息並自動安裝，大幅簡化更新流程，因此使用者更新修補程式的速度及比例都有所提升。

在此技術演進背景下，要鑽瀏覽器的漏洞越來越難，網路犯罪者於是想出了請君入甕的社交工程手法，讓使用者主動點選惡意網站或執行某些惡意程式。「系統再完善，但掌握系統權限的人卻未必完善。」將這個想法應用到網路犯罪上，最直覺的方式就是利用各種人性盲點誘騙使用者點選惡意網址。例如偽裝防毒軟體、皇室婚禮、甚至是朋友遇到急難需要協助等。

若相較於微軟在2010年提出的報告，網路下載程式中內含惡意程式的比例，在這1年來成長十分驚人。為了遏止這波社交工程網路犯罪浪潮，微軟在IE9中更強化了SmartScreen Filter的功能。其他包含有：過濾第三者冒充網站，移除不必要檔案，警告高風險的下載程式，以及防範潛在有害軟體。根據SmartScreen程式團隊經理Jeb Haber表示，在所有SmartScreen判斷為有風險而提出警告的網路行為中，使用者確實下載到惡意軟體的機率約為25~70%。