數聯資安(ISSDU) 講師：李品宏 ping_lee@issdu.com.tw 社交工程的手法與趨勢 數聯資安(ISSDU) 講師：李品宏 ping_lee@issdu.com.tw

惡意程式 病毒(Virus) 網蟲(Worm) 木馬(Trojan horse) 後門(Back Door) 進入主機並未經授權執行的程式。 replicates itself over a computer network 木馬(Trojan horse) 執行時呈現普通程式結果，實際上暗中進行了惡意活動。 後門(Back Door) 秘密管道，藉以在未經認證的情況下使用電腦資源。

後門與木馬 偽裝檔案 釣魚網站 竊取資料、佔領主機 防毒軟體不負責

大綱 警覺性測試結果 何謂社交工程 手法及趨勢 如何預防 Q & A

警覺性測試結果

開啟或瀏覽惡意郵件結果統計

點選郵件連結結果統計

開啟郵件附加檔案結果統計

社交工程

一般駭客 vs. 社交工程 攻擊電腦 技術門檻高 塞病毒、塞木馬、改網頁….

何謂社交工程 以人為本 手法萬萬種 技術門檻較低 在駭客理論中，指利用人性弱點、利用人際交往上的漏洞，來獲取重要資料的行為。專門指不需要使用任何的程式、科技技術即可獲取帳號、密碼、信用卡密碼、身分證號碼、姓名、地址或其他可確認身分或機密資料的方法。

加州理工學院-鎮校之寶

MIT新生T-shirt ?

1986年該砲就曾被加州另一所大學社交過

人性弱點 貪心：撿便宜的個性 好奇：探索八卦訊息的個性 不在意：沒那麼倒楣吧的想法 警覺力：無所謂後果的嚴重性 ……..等

社交工程途徑 詐騙集團…..太多手法 直接接觸 伊媚兒 MSN、Yahoo即時通 Blog …..只要能引誘使用者 通常透過 Email 來達成，其次是簡訊、電話、或者親自前往調查。社交工程在古代就有，在電視劇、電影中經常看到，用來誘騙對方說出自己想到的資料。如今被駭客運用在網際網路上，誘騙使用者各種重要的資料。

像這種事… Admin password Admin.R386W

任何連結都有可能 http://yahooo.s3.topaic.cn/data/bak/

最常使用的社交工程 誘騙使用者開啟 網址連結 附件檔案 附件圖片 網路釣魚、惡意編碼

誘人廣告或連結

網路釣魚

何謂網路釣魚 網路釣魚（Phishing）是個特殊的英文專有名詞， 結合“Phone”和“Fishing”兩個字。 根據APWG(反網路釣魚工作小組)定義，網路釣魚(Phishing)是利用社交工程手法及技術性的詐騙手法，偽造e-mail或知名品牌網站(多為金融機構)，甚至是綁架網址的手法，來偷取使用者的身分資料及金融帳號等機密資料。 既然是釣魚，當然也是願者上【鉤】。 　【網路釣魚】 的詐騙手段，就是引誘被害 人連結至假網站，而造成重要資料外洩，進 而使財產損失的一種行為。這種犯罪手法的 技術性並不高，有心犯罪者可以輕易的執行 網路釣魚的行為。

網路釣魚 根據美國消費者聯盟所做統計，網路詐騙案的被害金額從1999年每人平均310美元，增加到2000年的427美元，成長達137%。國內網路詐騙雖無金額統計，案件數量也有200%的年成長率

途徑及手法 任何可放連結的地方 散佈及引誘手法 廣告或其他誘人郵件 縮網址 關鍵字廣告

透過E-mail 拍賣網站相關信件 付錢卻收不到東西 劫標信 買空賣空 假詢問信 網站的會員通知 特惠活動 修改密碼 廣告郵件 偽造信件

透過即時通訊軟體 忽然而來的超連結 莫名的檔案傳輸

P2P下載軟體 emule、eDonkey、BT、Foxy…… 點對點連線…..對方的點是一般使用者嗎? 好康大家來分享 檔案內容與檔名一定相同?

P2P的隱憂

縮網址 利用部份網頁提供的縮址功能，來隱藏網頁的真實位址 常見於各大論壇與BBS站 常見縮址網站： http://tinyurl.com/ http://0rz.tw/ http://kuso.cc http://myurl.com.tw

縮網址 例:http://0rz.tw/ab37N

關鍵字廣告

查天堂，讓你上天堂

途徑及手法 竊取資料手法 假造網站 網址置換技術 網址嫁接 入侵正常網站 Vishing ( VoIP + Phishing ) 魚叉式網釣

假造網站(1) 中國

假造網站(2)

你分的出來嗎?

你分的出來嗎?

你分的出來嗎?

http://www.microsoft.com http://www.rnicrosoft.com

哪個才是無名小站? http://www.wretch.cc/album/sky520sky/ http://www.wretcn.cc/album/sky520sky/ http://www.wretch-cc.com/album/sky520sky/

假造網站 技術門檻低 利用使用者的粗心 申請與原本網站類似的網址 大部分使用者不會很注意上方網址

網址置換技術 Java Script 程式漏洞 Cross-Site Script( XSS )

網址置換技術

網址置換技術(XSS) 明明是別人家的網站 卻顯示數聯的網頁?!

網址嫁接(Pharming) 攻擊DNS伺服器 竄改使用者PC的host檔案

竄改PC的host檔

入侵正常網站 正牌的保證沒問題?

查詢含惡意連結網站 邱春樹先生的 大砲開講 網站

查詢含惡意連結網站 Zone-h.org( http://www.zone-h.org/ )

查詢含惡意連結網站 對岸的zone-h網站(http://www.zone-h.com.cn/)

Vishing

魚叉式網釣 Spear-Phishing 手術刀式攻擊 範圍小 攻擊目標精準 量身訂做 樣本少，不易取得

魚叉式網釣

預防方法

防治方式─個人習慣 不要瀏覽非工作相關或不信任的網站 不要下載安裝未經認可的軟體或程式 隨時更新作業系統與應用程式 安裝必要的防護軟體 不要開啟可疑或非工作相關的信件附檔 對任何提到”緊急”或”個人金融”保持懷疑態度。 如果對信件有任何一點疑慮，千萬不要點選email裡的超連結！ 不要提寫email裡有關個人金融資料的表格。 在網站上輸入信用卡號或是個人資料時，永遠要先確認該網站是否真的安全。

防治方式─個人習慣(續) 安裝防止網路釣魚詐騙的工具軟體。 經常或定期登入你的網路帳號。 定期確認你的銀行帳戶、信用卡的交易狀態都正確無異常。 確認你的瀏覽器(IE)是最新版本，而且都以更新修補程式。 自助互助，告知相關單位你發現的網路釣魚事件。

網路釣魚防治方法 User端 Server端 瀏覽器更新 Web資安產品 教育訓練 網頁伺服器的安全 網頁安全程式的撰寫 Web Application Firewall

使用者如何預防 利用google搜尋 Firefox內建的防偽造網站比對功能 McAfee SiteAdvisor Windows Live Toolbar 具有防釣魚網站的防毒軟體

Google

Firefox

McAfee SiteAdvisor

Windows Live Toolbar

Windows Live Toolbar

Windows Live Toolbar

防毒軟體

更安全的Outlook設定

安全觀念 不將email留在任何公開的網頁上 不開啟來歷不明之信件 不轉寄非必要之信件 不回應任何未知的信件

辨識寄件者(Outlook)

辨識寄件者(Outlook Express)

取消預覽功能(Outlook)

取消讀取視窗(Outlook)

取消預覽功能(Outlook Express)

純文字讀取信件(Outlook)

純文字讀取信件(Outlook Express)

不自動開啟圖片(Outlook)

不自動開啟圖片(Outlook Express)

防止直接開啟連結(Outlook) ，

垃圾郵件功能

垃圾郵件功能

郵件分類

郵件分類

郵件分類

郵件分類

郵件分類

郵件分類

取消自動回條傳送(Outlook)

取消自動回條傳送(Outlook Express)

網銀及網購安全

共通安全原則 確保非釣魚網站 網站登入有SSL加密機制 https://

網銀安全：功能太多,常用嗎?

網銀安全：動態鍵盤

網銀安全：一次性密碼

網銀安全：晶片讀卡機

網購安全：安全圖章

Q & A