課程名稱 : 行動裝置與資安及個資安全教育訓練 桃園市政府地政局 上課日期 / 時間： 105/05/23~25 、 105/05/27 1

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 簡報大綱 五 三 二 一 四 資安宣導 個資外洩與資安事件新聞 行動裝置與 APP 使用安全 看影片學資安 綁架惡意程式之危害

資安宣導 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 3

什麼是資訊安全 ? 4

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 資訊安全的現況 來自境外組織型駭客，透過複雜度極高的進階持續 性威脅 (Advanced Persistent Threat ，簡稱 APT) 手 法，利用假冒郵件的社交工程等方法，針對敏感資 訊的單位量身訂製攻擊手法 駭客攻擊目標常鎖定政府施政之重要部門 ( 如 : 保防、 特勤、外交、兩岸事務 ) 或民間機構 ( 如 : 金融機構 ) ， 並針對特定任務與目標執行網路攻擊 勒索軟體竄起，且蔓延至行動裝置 鎖定 Windows 的攻擊迅速發展， Mac 用戶 (IOS 系統 ) 也不能掉以輕心 惡意連結簡訊與通訊軟體詐騙訊息社交工程攻擊增 加，行動裝置病毒更氾濫，費用詐欺成為新威脅 5

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 利用資安最弱的一環攻擊： 隨著防護產品的佈建，對惡意攻擊的嚇阻可達一 定的成效，但是 ” 人 ” 的因素，往往是資安環節最 弱的一環 人的因素 6

個資外洩與資安事件新聞 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 7

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 扯！違規單洩個資 檢舉人名、電話全都露 8

用 APP 軟體追劇，看片同時個資同步看光光 9

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 「衣芙日系」個資遭駭 客戶被詐 505 萬 10

Facebook 癱瘓！伊斯蘭駭客 Lizard Squad 聲稱 發動攻擊 2015 年 1 月 27 日下午，全球的 Facebook 出現大當機，將近一個小時的時 間不只 Facebook 無法登入，就連 Instagram 也跟著癱瘓。就在癱瘓同時， 知名駭客 Lizard Squad 在 Twitter 上寫下留言，聲稱這起事件是他們幹的。全球的 Facebook 出現大當機 11

行動裝置與 APP 使用安全 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 12

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 真假網址 ?! 13

新型態社交工程威脅 - 手機簡訊 詐騙集團手上已經握有一份超過 十萬人的名單（包含姓名、手機 號碼），透過簡訊發送功能，把 你的姓名加上一串隨機問候語， 還有一個惡意鏈結，包裝後用簡 訊方式寄送給所有名單上的使用 者。收到的人不疑有他（上面有 你的名字，看起來很像是朋友傳 來的簡訊），點擊簡訊裡的惡意 鏈結，會自動下載惡意程式 APK 檔，手機就會「中毒」 ! 14

智慧型手機安全防護 手機設置密碼鍵盤鎖等防護措施。 不點選來路不明連結網頁。 不用相同帳密登入不同網站。 安裝手機防護軟體 ( 如 Avast 、 Dr.Web 、 AVG….. 等 ) 。 手機避免下載或安裝來路不明之安裝程式 ( 非 Google Play 或 App Store 之軟體 ) 。 iPhone 及 iPad 等 iOS 設備建議不要進行 JB( 越獄 ) 操作 儘量避免離開視線或交由陌生人操作 充電儘量使用座充變壓器，避免連接電腦 不任意點選來路不明的簡訊超連結。 不理會陌生人的訊息 ( 如 LINE 、 Facebook… 等 ) 。 15

智慧型手機 App 使用安全 下載 APP 應注意 : – 欲下載 APP 的評比與權限設定 – 該 APP 的星級評價 – 觀察使用者對該 APP 之評論 – 查看該 APP 的存取權限設定 – 避免一次大量下載 APP – 只在信譽良好網站或官方 APP 市集中下載 16

智慧型手機 App 使用安全 不給多餘的權限，危險不上身 不給多餘的權限，危險不上身 您的位置：程式會透過手機 GPS 或是 LBS 基地台的方式來取 得你的位置。一般來說，只有與地圖相關的應用才會用到這 個權限。 您的位置：程式會透過手機 GPS 或是 LBS 基地台的方式來取 得你的位置。一般來說，只有與地圖相關的應用才會用到這 個權限。 需要額外費用：這個權限可以讓應用程式直接用手機撥打電 話、簡訊給特定對象。理論上很少有遊戲會用到這個權限。 需要額外費用：這個權限可以讓應用程式直接用手機撥打電 話、簡訊給特定對象。理論上很少有遊戲會用到這個權限。 您的帳戶：應用程式會存取這台手機上的 Google 帳戶、密碼。 一般來說，除了 Google 本身的 App 之外，其他程式應該不會 用到。 您的帳戶：應用程式會存取這台手機上的 Google 帳戶、密碼。 一般來說，除了 Google 本身的 App 之外，其他程式應該不會 用到。 您的個人資訊：很多應用程式都會要求這個權限，這個權限 的要求可大可小，透過這個授權可以讀取手機中的聯絡人資 料。 您的個人資訊：很多應用程式都會要求這個權限，這個權限 的要求可大可小，透過這個授權可以讀取手機中的聯絡人資 料。 系統工具：這個授權可以讓應用程式設定為在開機的時候， 自動將程式載入到背景。如果是應用程式要求這個授權還算 合理，如果是遊戲的話則很奇怪。 系統工具：這個授權可以讓應用程式設定為在開機的時候， 自動將程式載入到背景。如果是應用程式要求這個授權還算 合理，如果是遊戲的話則很奇怪。 17

智慧型手機安全性設定 -Line 1. 關閉「公開 ID 」功能。 2. 若無使用電腦版 LINE ，應關閉「允許自其他裝 置登 入」。 3. 定期更改密碼，設定換機密碼。 4. 關閉手機通訊錄「自動加入好友」、關閉「允許被加入 好友」。 5. 開啟「阻擋訊息」，阻擋非來自好友之訊息。 6. 社群網站、軟體或免費信箱不使用同組帳號密碼。 7. 不在公用電腦登入 LINE 。 8. 不任意授權 LINE 遊戲讀取你和好友的個人資料。 18

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 免費的真的免費嗎 ? 行政院長張善政今 天說，手機設定免 費 Wi-Fi 就連結有風 險，手機不應設定 免費 Wi-Fi 「閉著眼 睛就連」，這設計 不好，至少不要到 處都可連，但國發 會提供 Wi-Fi 的基地 台是有管理。 19

公共 Wi-Fi 駭客是這樣用的 20

新型態社交工程威脅 - 手機感染電腦 中毒電腦 惡意程式 駭客 1. 使用者下載惡意 APP 2. 使用者進行 充電, 手機惡意 程式感染電腦 3. 惡意程式竊取密 碼 ; 開啟麥克風竊 錄環境音 4. 被竊資料 傳到手機 5. 透過手 機將資料 傳到駭客 的 FTP 21

手機感染電腦 - 充電引起！ 源起 : 某單位向 S 業者申請技術支援 狀況 – 內部機器 (windows 2003) – 做內部機密視訊會議用 – 沒有加入 AD 網域 – 有裝防毒 (Symantec) – 內部機器不能自由連通網際網路 ( allow tcp any to any) – 防毒有偵測到 ” 偷密碼惡意程式 ”, 但是清除或重灌 後還是持續出現 – 最後中毒時間 : :07 22

追查經過 現場發現多隻惡意程式 – 偷取 IM 密碼 ( MSN, ICQ, Yahoo!IM…) –.net 版本的密碼偷取程式 – 將錄音檔透過 USB 裝置傳送出去 沒有任何機器對外異常連線記錄 (firewall/ips) 硬碟 mirror 後 以 Encase 檢驗, 發現有 –autorun.inf 與 folder.ico 兩個 lnk 檔案 推論是 USB 感染, 但是客戶確認沒有使用 USB 隨身碟 :00-11:00 有四位長官使用這個 房間 確認有長官借用電腦充電 ( 手機 usb 連到電腦 ) 23

追查手機 手機 :android 2.3 系統 檢驗最近三個月下載的 App 發現有三個程式會與 USB 溝通 分析後確認存在有惡意行為的 APP 24

綁架惡意程式之危害 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 25

趨勢科技 2016 年資安威脅預測 2016 年將會是網路勒索之年。 –2016 年，網路威脅將更加進化，更側重犯罪手 法背後的心理層面，而非技術層面。駭客將繼 續利用恐懼為主要手段，因為這一點在過去屢 試不爽。 26

新聞剪影 安全出漏洞 蘋果 Mac 電腦 首遭軟體勒索 27

綁架惡意程式之危害 - 案例說明 28

綁架惡意程式之危害 - 案例說明 29

綁架惡意程式之危害 - 如何預防 30

看影片學資安 105 年度一般人員 個資暨資安保護認知宣導 - 行動裝置與資安及個資安全教育訓練 31

駭客激進份子 32

看影片學資安 33

Copyright©2016 All Rights Reserved, Reproduction is Strictly Prohibited 看影片學資安 104 年資安動畫金 像獎 第一名：資 安守則 Love Story 104 年資安動畫 金像獎 佳作： 資安 Lifeline 34