課程名稱 : 行動裝置與資安及個資安全教育訓練 桃園市政府地政局 上課日期 / 時間: 105/05/23~25 、 105/05/27 1
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 簡報大綱 五 三 二 一 四 資安宣導 個資外洩與資安事件新聞 行動裝置與 APP 使用安全 看影片學資安 綁架惡意程式之危害
資安宣導 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 3
什麼是資訊安全 ? 4
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 資訊安全的現況 來自境外組織型駭客,透過複雜度極高的進階持續 性威脅 (Advanced Persistent Threat ,簡稱 APT) 手 法,利用假冒郵件的社交工程等方法,針對敏感資 訊的單位量身訂製攻擊手法 駭客攻擊目標常鎖定政府施政之重要部門 ( 如 : 保防、 特勤、外交、兩岸事務 ) 或民間機構 ( 如 : 金融機構 ) , 並針對特定任務與目標執行網路攻擊 勒索軟體竄起,且蔓延至行動裝置 鎖定 Windows 的攻擊迅速發展, Mac 用戶 (IOS 系統 ) 也不能掉以輕心 惡意連結簡訊與通訊軟體詐騙訊息社交工程攻擊增 加,行動裝置病毒更氾濫,費用詐欺成為新威脅 5
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 利用資安最弱的一環攻擊: 隨著防護產品的佈建,對惡意攻擊的嚇阻可達一 定的成效,但是 ” 人 ” 的因素,往往是資安環節最 弱的一環 人的因素 6
個資外洩與資安事件新聞 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 7
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 扯!違規單洩個資 檢舉人名、電話全都露 8
用 APP 軟體追劇,看片同時個資同步看光光 9
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 「衣芙日系」個資遭駭 客戶被詐 505 萬 10
Facebook 癱瘓!伊斯蘭駭客 Lizard Squad 聲稱 發動攻擊 2015 年 1 月 27 日下午,全球的 Facebook 出現大當機,將近一個小時的時 間不只 Facebook 無法登入,就連 Instagram 也跟著癱瘓。就在癱瘓同時, 知名駭客 Lizard Squad 在 Twitter 上寫下留言,聲稱這起事件是他們幹的。全球的 Facebook 出現大當機 11
行動裝置與 APP 使用安全 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 12
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 真假網址 ?! 13
新型態社交工程威脅 - 手機簡訊 詐騙集團手上已經握有一份超過 十萬人的名單(包含姓名、手機 號碼),透過簡訊發送功能,把 你的姓名加上一串隨機問候語, 還有一個惡意鏈結,包裝後用簡 訊方式寄送給所有名單上的使用 者。收到的人不疑有他(上面有 你的名字,看起來很像是朋友傳 來的簡訊),點擊簡訊裡的惡意 鏈結,會自動下載惡意程式 APK 檔,手機就會「中毒」 ! 14
智慧型手機安全防護 手機設置密碼鍵盤鎖等防護措施。 不點選來路不明連結網頁。 不用相同帳密登入不同網站。 安裝手機防護軟體 ( 如 Avast 、 Dr.Web 、 AVG….. 等 ) 。 手機避免下載或安裝來路不明之安裝程式 ( 非 Google Play 或 App Store 之軟體 ) 。 iPhone 及 iPad 等 iOS 設備建議不要進行 JB( 越獄 ) 操作 儘量避免離開視線或交由陌生人操作 充電儘量使用座充變壓器,避免連接電腦 不任意點選來路不明的簡訊超連結。 不理會陌生人的訊息 ( 如 LINE 、 Facebook… 等 ) 。 15
智慧型手機 App 使用安全 下載 APP 應注意 : – 欲下載 APP 的評比與權限設定 – 該 APP 的星級評價 – 觀察使用者對該 APP 之評論 – 查看該 APP 的存取權限設定 – 避免一次大量下載 APP – 只在信譽良好網站或官方 APP 市集中下載 16
智慧型手機 App 使用安全 不給多餘的權限,危險不上身 不給多餘的權限,危險不上身 您的位置:程式會透過手機 GPS 或是 LBS 基地台的方式來取 得你的位置。一般來說,只有與地圖相關的應用才會用到這 個權限。 您的位置:程式會透過手機 GPS 或是 LBS 基地台的方式來取 得你的位置。一般來說,只有與地圖相關的應用才會用到這 個權限。 需要額外費用:這個權限可以讓應用程式直接用手機撥打電 話、簡訊給特定對象。理論上很少有遊戲會用到這個權限。 需要額外費用:這個權限可以讓應用程式直接用手機撥打電 話、簡訊給特定對象。理論上很少有遊戲會用到這個權限。 您的帳戶:應用程式會存取這台手機上的 Google 帳戶、密碼。 一般來說,除了 Google 本身的 App 之外,其他程式應該不會 用到。 您的帳戶:應用程式會存取這台手機上的 Google 帳戶、密碼。 一般來說,除了 Google 本身的 App 之外,其他程式應該不會 用到。 您的個人資訊:很多應用程式都會要求這個權限,這個權限 的要求可大可小,透過這個授權可以讀取手機中的聯絡人資 料。 您的個人資訊:很多應用程式都會要求這個權限,這個權限 的要求可大可小,透過這個授權可以讀取手機中的聯絡人資 料。 系統工具:這個授權可以讓應用程式設定為在開機的時候, 自動將程式載入到背景。如果是應用程式要求這個授權還算 合理,如果是遊戲的話則很奇怪。 系統工具:這個授權可以讓應用程式設定為在開機的時候, 自動將程式載入到背景。如果是應用程式要求這個授權還算 合理,如果是遊戲的話則很奇怪。 17
智慧型手機安全性設定 -Line 1. 關閉「公開 ID 」功能。 2. 若無使用電腦版 LINE ,應關閉「允許自其他裝 置登 入」。 3. 定期更改密碼,設定換機密碼。 4. 關閉手機通訊錄「自動加入好友」、關閉「允許被加入 好友」。 5. 開啟「阻擋訊息」,阻擋非來自好友之訊息。 6. 社群網站、軟體或免費信箱不使用同組帳號密碼。 7. 不在公用電腦登入 LINE 。 8. 不任意授權 LINE 遊戲讀取你和好友的個人資料。 18
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 免費的真的免費嗎 ? 行政院長張善政今 天說,手機設定免 費 Wi-Fi 就連結有風 險,手機不應設定 免費 Wi-Fi 「閉著眼 睛就連」,這設計 不好,至少不要到 處都可連,但國發 會提供 Wi-Fi 的基地 台是有管理。 19
公共 Wi-Fi 駭客是這樣用的 20
新型態社交工程威脅 - 手機感染電腦 中毒電腦 惡意程式 駭客 1. 使用者下載惡意 APP 2. 使用者進行 充電, 手機惡意 程式感染電腦 3. 惡意程式竊取密 碼 ; 開啟麥克風竊 錄環境音 4. 被竊資料 傳到手機 5. 透過手 機將資料 傳到駭客 的 FTP 21
手機感染電腦 - 充電引起! 源起 : 某單位向 S 業者申請技術支援 狀況 – 內部機器 (windows 2003) – 做內部機密視訊會議用 – 沒有加入 AD 網域 – 有裝防毒 (Symantec) – 內部機器不能自由連通網際網路 ( allow tcp any to any) – 防毒有偵測到 ” 偷密碼惡意程式 ”, 但是清除或重灌 後還是持續出現 – 最後中毒時間 : :07 22
追查經過 現場發現多隻惡意程式 – 偷取 IM 密碼 ( MSN, ICQ, Yahoo!IM…) –.net 版本的密碼偷取程式 – 將錄音檔透過 USB 裝置傳送出去 沒有任何機器對外異常連線記錄 (firewall/ips) 硬碟 mirror 後 以 Encase 檢驗, 發現有 –autorun.inf 與 folder.ico 兩個 lnk 檔案 推論是 USB 感染, 但是客戶確認沒有使用 USB 隨身碟 :00-11:00 有四位長官使用這個 房間 確認有長官借用電腦充電 ( 手機 usb 連到電腦 ) 23
追查手機 手機 :android 2.3 系統 檢驗最近三個月下載的 App 發現有三個程式會與 USB 溝通 分析後確認存在有惡意行為的 APP 24
綁架惡意程式之危害 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 25
趨勢科技 2016 年資安威脅預測 2016 年將會是網路勒索之年。 –2016 年,網路威脅將更加進化,更側重犯罪手 法背後的心理層面,而非技術層面。駭客將繼 續利用恐懼為主要手段,因為這一點在過去屢 試不爽。 26
新聞剪影 安全出漏洞 蘋果 Mac 電腦 首遭軟體勒索 27
綁架惡意程式之危害 - 案例說明 28
綁架惡意程式之危害 - 案例說明 29
綁架惡意程式之危害 - 如何預防 30
看影片學資安 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 31
駭客激進份子 32
看影片學資安 33
Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 看影片學資安 104 年資安動畫金 像獎 第一名:資 安守則 Love Story 104 年資安動畫 金像獎 佳作: 資安 Lifeline 34