微软MSRC于12/5透过网路发布一起新的Zero-Day攻击事件，此攻击行为目前正在网路上散布(http://www.microsoft.com/technet/...ry/929433.mspx)，依据微软公告的安全建议(编号929433)，此次事件对于 Word 2000、Word 2002、Word 2003、Word Viewer 2003以及麦金塔上的Word软体，都会造成安全上的威胁，骇客可以透过此软体安全上的漏洞，任意安装恶意程式到受害者电脑内。知名安全警讯网站Secunia亦将此弱点列为「极度高危险」等级(Extremely Critical)。

依据目前微软公告的建议，面对此类结合社交工程与零时差攻击的新兴威胁，使用者切勿任意开启来路不明的电子邮件，或参考以下微软提供的建议措施。建议可降低电脑使用者的使用权限，避免赋予最高权限等做法，以降低「零时差攻击」之风险。

参考资料
http://www.microsoft.com/technet/...ry/929433.mspx
http://secunia.com/a...s/23232/
http://www.microsoft.com/technet/...in/policy.mspx
http://www.microsoft.com/technet/secu...fo/msrpracs.mspx


个人心得：
现在的骇客木马，都走社交工程了，所以「人」才是最难防范的啊！

恩，包包不才，看不懂啥叫「社交工程」，所以去网路上找噜一下资料，顺便贴上来给大家看

中小型企业客制化资安维护系列专辑 之四- 社交工程
邱莹青 (2006/6/5)

什么是社交工程
　
社交工程，英文为Social Engineering，是以影响力或说服力来欺骗他人以获得有用的资讯，这是近年来造成企业或个人极大威胁和损失的骇客攻击手法。
　
社交工程造成极大威胁的原因，在于恶意人士不需要具备顶尖的电脑专业技术，只要企业员工对于防范诈骗没有足够的认知，就可以轻易地避过了企业的软硬体安全防护，而骗取到各项帐号密码、个人资料、财务资料或公司重要资料等资讯，对企业所造成的损害与威胁，完全不下于网路上的各种骇客攻击。
　
企业员工对安全防护认知的不足与轻忽，造成了企业资通安全的一大漏洞，公司即使投资了各种网路防护的软硬体，并训练员工正确的系统操作步骤、资料储存程序，再加上良好的保全系统保护机房安全，结果仍可能不堪一击，因为社交工程利用人性容易相信而上当的弱点，避开了不容易破解的网路防火墙，选择容易跨越的人性防火墙，只应用了简单的沟通和欺骗技巧，便突破了企业的安全防护，而突破这些耗资千万的层层安全防护，所花费的成本竟然只有一、两通电话的费用。
　
应用社交工程的各种攻击方法
　
除了利用电话诈骗之外，常见的社交工程攻击还包括︰
　
（1）电子邮件隐藏电脑病毒
　
骇客利用社交工程的概念，将病毒、蠕虫与恶意程式等隐藏在电子邮件中，这些看似朋友所寄来的邮件，却是应用社交工程的电子邮件陷阱，例如过去造成重大损害的I LOVE YOU蠕虫，就是一种利用社交工程散播的电脑病毒。
　
（2）网路钓鱼
　
有一种伪装知名企业或机关单位寄发的电子邮件，通知收件人必须重新验证密码或登入某网址输入个人资料等，这种诈骗称为网路钓鱼。收件人若无小心求证而连结了邮件中的链结，可能就下载了恶意程式；或者在假网页上输入了帐号密码或信用卡资料等，造成银行户头被盗领或盗刷等的严重后果，这是近年来造成个人与企业极大损害的犯罪手法，而网路钓鱼就是一种典型的社交工程攻击。
　
（3）图片中的恶意程式
　
明星或色情图片也是许多恶意程式惯用的社交工程技巧之一，这些都是利用使用者的好奇心来散布恶意程式，之前Sobig网路病毒出现在某个含有色情内容的网路讨论群组，网友点选了其中像是裸照的内容就会感染病毒，而该病毒总共导致了约10亿美金的损失。
　
（4）伪装修补程式
　
另一种社交工程的欺骗手法，就是伪装成微软的修补更新程式，因为一般使用者不会觉得这是来路不明的程式，却没有防范社交工程也会利用这个漏洞，而将恶意程式隐藏其中。使用者若安装了这个档案，不但不会修补作业系统的任何漏洞，还可能被安装了远端窃取资料的木马程式。
　
（5）即时通也是社交工程新途径
　
近年来，社交工程传播恶意程式的途径扩大至即时通讯软体，如MSN、ICQ、YAHOO即时通、QQ等。2005年2月，一个使用MSN大量散播的病毒造成严重灾情，这个电脑病毒会利用MSN自动传档给MSN连络人上的朋友，亚洲各国皆传出灾情，包括台湾的案例也有千起以上。
　
社交工程攻击四步骤
　
社交工程攻击首先取得一个攻击目标的背景资讯，透过交谈与受害人建立信任，然后向受害人要求资讯，再利用这些资讯向其他或更高层人员欺骗，不断重覆这些步骤，以达成最后目标。
　
常见的社交攻击手法与目标
　
不管是纯粹使用诈骗技巧，或是利用电脑专业技术制造诈骗机会，常见的诈骗与攻击手法相当多元，包括︰假冒为同事；假冒新进员工；假冒厂商、客户或政府单位；假冒具有权威的人；假冒系统厂商，表示欲提供系统修补程式或更新程式；假冒好心人士，告诉对方如果电脑发生问题可以找他，然后制造问题，让受害人打电话来求援…等。其中，某些职务人员是社交工程攻击常锁定的目标，尤其是基层庶务人员，当其对于公司主要业务较无直接关系时，往往对于资讯保密的警觉性较低，常常成为社交工程攻击常锁定的主要目标。
　
有效防范社交工程攻击的方法
　
在了解社交工程的攻击手法后，应建立正确防范社交工程的观念，包括人员的教育训练与平常的宣导。
　
（1）认识常见社交工程的可疑征兆
　
首先，随时具备危机意识，恶意人士可能以任何角色或形式出现，在没有适当的认证情况下，不应轻信他人，只要出现社交工程攻击警讯，都应保持小心求证的戒心。认识几个社交工程的可疑征兆，例如对方强调是紧急事件；提出不寻常的请求；威胁对方如果不照办会有严重的后果；拒绝告知回电号码…等，遇有上述情形时应提高警觉心。
　
（2）遵守公司安全政策与程序 确认要求者的身分
　
另外，平时亦应遵守公司安全政策与程序，例如依资料分级制度流通资讯，不开启来路不明的电子邮件等，在任何资讯释出时，都要确认要求者的身分及对方经过授权。
　
（3）通报作业
　
最后，遇到疑似攻击事件时应向有关单位通报。
　
总结
　
社交工程其实就是一种利用人性弱点的诈骗技术，它避开了严密的资通安全技术防护，是一种非常难以防范的攻击模式，只有具备高度的危机意识及警觉心，才能减少社交工程攻击伤害。