I. 報導摘要

面對日益精密的網路攻擊，企業的邊界防禦已不再是技術難題，而是人為漏洞。駭客組織正將目標轉向企業內部的服務台（Help Desk/Service Desk），透過高明的社會工程手法，將常規的密碼重設請求轉化為對核心網路的全面存取權限。要有效應對此類威脅，企業必須停止依賴客服人員的主觀判斷，將使用者身份驗證提升為一套由資安團隊擁有、一致性強、且可被記錄與強制執行的正式IT安全工作流程，其中「自適應身份驗證」是實現這一目標的關鍵。

II. 服務台成為新威脅媒介

入侵許多企業的最快途徑仍然是服務台，像Scattered Spider 這樣的威脅行為者已經將社會工程變成了一門科學，而組織的服務台客服人員正是他們的主要目標，一通令人信服的電話可以將常規密碼重設轉變為完全網域存取權限。米高梅度假村和高樂氏事件(註)表明，一次成功的社會工程攻擊可能造成多大的破壞，對企業造成九位數的損失，並造成數週的混亂。這不是僥倖，而是劇本，攻擊者透過”盯人”達成攻擊目標。單純依賴員工培訓已無法阻止這些老練的攻擊者，因為駭客擅長利用客服人員在時間壓力下的助人心理。當最後一道防線僅僅是仰賴超負荷工作的客服人員進行主觀判斷時，企業的防線已經崩潰。

註：

1. 米高梅度假村事件 (2023 年 9 月)

駭客集團（據悉是 Scattered Spider）透過以下步驟發動攻擊：

• 目標識別：駭客在 LinkedIn 等公開網站上找到米高梅員工的資訊。
• 社交工程呼叫：駭客假冒該員工的身份撥打資訊服務台電話，聲稱自己被鎖在帳戶外。
• 繞過多重身份驗證 (MFA)：駭客成功欺騙服務台人員，讓他們執行密碼重設或繞過 MFA 的步驟。
• 結果：駭客透過僅僅 10 分鐘的通話就取得了初始存取權限，導致米高梅的大部分系統癱瘓數天，估計損失達 1 億美元。

2. 高樂氏事件 (2023 年 8 月)

高樂氏的攻擊模式與米高梅極為相似，而且矛頭直接指向其外包的服務台承包商：

• 重複欺騙：駭客多次致電服務台，假冒鎖定帳戶的員工，要求重設密碼和 MFA。
• 服務台的疏失：高樂氏後來的訴訟指出，服務台人員在未進行充分身份驗證的情況下，就為駭客重設了密碼和 MFA。
• 結果：駭客透過這些憑證進入高樂氏網路，並成功地取得了網域管理員 (Domain Admin) 權限，最終導致數月的營運中斷，損失高達數億美元。

III. 核心防禦：安全擁有的工作流程

使用者驗證必須是安全擁有的工作流程，而不是代理人擁有的對話。將驗證從代理的頭腦轉移到一致、記錄和強制執行的正式IT 安全工作流程中。當驗證功能融入工作流程中時，組織可以「免費」獲得安全成果，例如：針對相同使用者或角色的驗證失敗次數激增，如同火災前的煙霧－SecOps 自動警報。自動對可疑帳號發出警告，同一用戶短時間內致電。

這種基於工作流程的驗證方法，應遵循NIST（美國國家標準與技術研究院）的指導原則，具體策略包括：

1. 強制性控制： 客服代理人絕不能處理或查看任何憑證。驗證過程必須由系統自動完成。

2. 角色式驗證： 根據使用者的風險等級（如一般員工、特權使用者、行政主管或財務人員）來定義驗證的深度與強度。高風險角色必須要求更強力的驗證證明。

3. 點數式彈性驗證： 考量到多因素驗證（MFA）可能因設備遺失或故障而失效的現實狀況，應採用點數制。使用者需透過多種證明方式（如個人電子郵件一次性密碼、設備序號驗證等），累積達到預設的及格門檻點數才能通過驗證，避免被鎖在系統之外。

4. ITSM 整合： 將驗證流程與企業既有的IT服務管理系統（如ServiceNow）深度整合，確保客服人員在熟悉的工具中自動觸發驗證流程，並將結果與稽核紀錄回寫到工單中。這不僅提升了安全性，也減輕了客服人員判斷資安風險的壓力。

Adaptive Identification Verification（自適應身份驗證）是一種可行的身份驗證方法，這種方法是根據使用者風險情境、行為模式與環境變化，動態調整驗證強度與方式的身份驗證策略，它根據當下的風險評估，選擇最合適的驗證手段。例如，對於標準使用者的例行密碼重設，可採用應用程式推播通知（Profile 1）；對於請求敏感變更的特權管理員，則必須要求兩種不同的因素驗證（Profile 2），結合MFA推送和HRIS系統中的非公開屬性問題。

IV. 結論

應對社會工程攻擊，不能再指望更漂亮的宣傳海報或更長的SOP腳本。企業必須採取根本性的變革，透過移除主觀判斷、提高驗證證明強度，並將攻擊者試圖利用的工作流程進行系統化檢測。唯有如此，服務台才能從一個薄弱的軟目標，轉變為一個堅固的資安控制點。