全校行政同仁防範惡意電子郵件社交工程教育訓練 政治大學102年度 全校行政同仁防範惡意電子郵件社交工程教育訓練 防範惡意電子郵件社交工程 電算中心網路組　呂思瑩專員

Agenda 計畫說明 社交工程說明 防範方式

一 計畫說明 緣起 102年度執行時間 執行方式 預期目標

為什麼要推動防範社交工程 政府推動服務資訊化公教人員接觸機 密資訊設備機率高。 教育單位人員對於資訊安全的防護心 態普遍較弱。 教育單位普遍課餘上網機率高於其他 單位。 依資安發字第0980100328號函辦理本 計畫

演練內容說明 教育部惡意電子郵件社交工程演練計畫 演練Milestone： 各機關學校人員每年至少需接受1小時社 交工程防制宣導講習 教育部發公文通知演練執行時間 第一階段宣導課程 ( 電算中心辦理 ) 教育部集中演練 ( 特定月份 ) 教育部提供開啟郵件名冊給各校 第二階段宣導課程 (針對開啟郵件者) 12月底前，郵教育部彙整並公布全台演練報告

102年度演練時程 2013/06 收到演練公文 提供名單 2013/12 教育部 公告結果 2013/07 辦理教育訓練 第一次集中演練 2013/08 加強宣導 2013/09 第二次 集中演練 教育部提供開啟郵件名單，請各校加強教育

演練執行方式 以電子郵件寄送為主。 郵件主題分為政治、公務、健康養 生、旅遊等類型，郵件內容包含連結 網址或word附檔。 由技術小組以偽冒公務、個人或公司 行號等名義發送惡意郵件給演練對 象。

102年度評量標準及目標 惡意郵件開啟率 開啟惡意郵件人數 / 機關提報人數 惡意連結(或檔案)點擊率 開啟連結(或檔案)人數 / 機關提報人數 目標 惡意郵件開啟率 應低於10％以下 惡意連結(或檔案)點擊率 應低於6％以下

二 社交工程說明 社交工程介紹 社交工程各種攻擊手法介紹 時有所聞 偽造郵件範例

何謂社交工程? 社交工程，英文為Social Engineering， 是以影響力或說服力來欺騙他人以獲 得有用的資訊，這是近年來造成企業 或個人極大威脅和損失的駭客攻擊手 法。 簡單來說「社交工程」，就是詐騙！ 透過電話、電子郵件等方式偽裝身份 誘騙您上勾受騙…

社交工程的各種攻擊方法 電話詐騙。 電子郵件詐騙。 網路釣魚 。 圖片、網頁內的惡意程式 。 偽裝修補程式 。 即時通 (MSN, Yahoo, Skype...) 。

電子郵件詐騙

各種惡意程式郵件主旨 潘金蓮與西門慶 春節禮物 同學會相片 yahoo!回復郵件 茱麗亞娜視窗第十三版 2008年十二生肖運程 小時候ㄌ照片 生日照片 視窗化工具 投資明細 極品空姐 我換信箱了囉 新號碼 媽祖喜歡你 破解女王版 ATM領錢時要注意 超口愛 謎底 這運動會否太累 破解女王版 陳冠希和鍾欣桐床上照 從前的照片 星語專用視窗化 昨晚夢到你ㄌ 張柏芝 我女兒相片 煎餃算命 籃球寶貝 美女裸照 聚會照片 魔獸開圖程式 看看你和我誰智商高 網路姊妹花 私人相片 請問都是甚麼人 太妙ㄌ一定要看

色情郵件標題

附檔名bat也是惡意程式執行檔

內容看似一般網路轉寄郵件…

惡意程式郵件會將檔案隱藏在.zip檔

畫面網址與實際網址URL不同

小提醒

轉寄郵件洩漏個人資料

曝露收件者的郵件信箱

轉寄郵件的正確操作認知 刪除轉寄郵件標題文字

轉寄郵件的正確操作認知 使用密件副本功能

網路釣魚

網路釣魚 利用偽造的網頁作為誘餌，詐騙使用者洩 漏如帳戶密碼等個人機密資料。 釣魚網頁畫面與官方網站相同 ，但其實 這個網址並非官方網站。 以相似的字元來偽裝網址， 例如：以數字的0來替換英文的O 　　　以數字的1來替換英文的l http://www.gamannia.com http://www.gamania.com www.landbank.com.tw www.1andbank.com.tw 知名的線上遊戲廠商-遊戲橘子，就有人申請差一個字母的網址http://www.gamannia.com與正牌的網址http://www.gamania.com，又例如土地銀行網址www.landbank.com.tw，駭客集團同樣登錄「土地銀行」網址設為www.1andbank.com.tw

偽「我的拍賣賣場」陷阱…

你確定你真的是在Yahoo購物? http://yahooo.c65.163ns.com/data/bak/

用APNIC網頁的查詢結果… 中國電信集團 APNIC Asia Pacific Network Information Centre APNIC(亞太網路資訊中心)是亞太地區負責網路位址空間發放與管理的機構，亦為世界目前僅有的三個地區性機構其中之一。APNIC是一個非營利的會員機構，由會員通過開放民主的參與過程，決定機構的政策和方向，主要會員為亞太區的主要ISPs(網路服務供應商)，截至2004年1月止，APNIC在整個區域的46個經濟體中擁有891個會員，其中包含10個聯盟會員，代表500-600名間接會員。APNIC所提供的服務項目包括運作服務、政策與訓練等等與IP位址空間管理相關的事項。此外，APNIC同時也代表亞太地區參與國際網路政策的制定。

網頁中的惡意程式

瀏覽網頁中獎率 10% 2007年5月的Google的研究報告指出， 在全球450萬個網頁進行深入分析後， 發現十分之一的網頁都具發佈「自動 下載程式」。 即網際網路上平均有十分之一的網頁 含有惡意程式或疑似惡意程式！

這些惡意程式，可以在使用者不知情 的情況下自動安裝木馬程式、間諜軟 體和其他病毒程式。 惡意程式散播方式通常利用情色、聳動、 趣味等標題文字吸引使用者點選，點選後 會直接下載安裝惡意程式。 或是以買A送B的方式，在您需要安裝必 要使用程式時，附加安裝惡意程式。

安裝瀏覽器工具列、變更首頁

時有所聞

知名防毒廠商也不慎犯錯

EC攻擊手法排行榜 前2名是SQL-Injection、暴力破解

偽造退職所得稅新聞稿內藏木馬 財政部賦稅署日前在網站上發佈新聞稿，標題為「公告102年度計算退 職所得定額免稅之金額」，文末附帶一個pdf檔的修正前後對照表。而 在網路上流傳的這封署名為行政院勞工委員會所發出的信件，卻附上了 一個RAR壓縮後的doc檔案（102年度綜合所得稅退職所得定額免稅金額 表.rar），需要依照信件上所提示的密碼來開啟。財政部賦稅署表示， 政策的正式公告都是透過賦稅署官方網站上發佈，不會透過郵件散佈。 「殭屍電腦」(Botnet或Zombie)指的是網路上一群受遠端控制而不自覺的電腦。其實我比較喜歡「傀儡電腦」這一個稱呼，但是最近大家好像都是講「殭屍電腦」，這兩者指的是同一種電腦。 為什麼會變成殭屍電腦：這是因為電腦中了某些類型的木馬病毒（Trojan），有些木馬只是偷你的檔案或是個人帳號密碼，但是有些木馬是會在你的電腦開啟「後門」，讓別人從遠端進入你的電腦並遙控它。 什麼人在遙控殭屍電腦：當然是下毒的人！但是有時候並不是真的有人在控制，而是叫這些被遙控的「殭屍電腦」到一台指定的主機去接收新的指令。 殭屍電腦的目的是什麼：主要是發送垃圾郵件，到各網站自動留言，感染更多的電腦，依指示發動DDoS服務阻斷攻擊癱瘓網站，或是最近常見的利用殭屍電腦去感染網站主機，然後這個網站又會讓更多瀏覽網頁的人中毒。像諾貝爾和平獎網站被駭客入侵就是這種模式。

資通安全服務 http://security.km.nccu.edu.tw/xms/

偽造郵件範例

美麗的漁人碼頭夕陽

超級美食任務-1~40集店家一覽表

八大種類

八大種類

101年度社交工程郵件開啟統計 郵件主旨 開啟次數 對付浮腫黑眼圈的妙方！ 3 《熱浪襲人》教你如何避免中暑！ 2 【HiNet旅遊網】深度旅遊團 超低價好康!! 4 你看得出她是機器人嗎？美麗程度媲美葉子媚 私底下你沒見過的正妹主播！ 1 兒童沒繫安全帶 八月起開罰！ 6 阿茲海默症 發病前25年就有徵兆 政府強力打房 北台預售屋全年推案 下修12％ 夏日吃薑 有助身體散熱！ 袁艾菲開封幼咪咪胴體　全身光溜溜！ 視力矯正又有新突破！更快更準更無副作用！ 超可愛貓咪 教你如何打瞌睡 雅虎遇駭 45萬用戶個資曝光！快來查看看你的帳號外洩沒~ 電價敲定 67%用戶漲一成 臺灣十大觀光小城 促銷好康優惠多 線上就能觀看故宮收藏！快看看~

三 防範方式

102年度評量標準及目標 惡意郵件開啟率 開啟惡意郵件人數 / 機關提報人數 惡意連結(或檔案)點擊率 開啟連結(或檔案)人數 / 機關提報人數 目標 惡意郵件開啟率 應低於10％以下 惡意連結(或檔案)點擊率 應低於6％以下

方法論 關閉自動下載圖片 關閉預覽視窗 若能做到下述，就更好囉!! 設定郵件規則 考慮設定以純文字格式讀取郵件 不要自動回覆讀信回條

為什麼要求不能「開啟郵件」？ 您可能覺得只要不開郵件附件和不點 擊連結，就不會中招… 但其實有些惡意程式是利用ActiveX功能來 執行的。 由於您的電子郵件可能是HTML格式，而 HTML可以撰寫ActiveX，所以您只要瀏覽 電子郵件，就觸發ActiveX執行！

啟用預覽視窗等同「開啟郵件」 利用IE漏洞，不開啟附檔也會中毒 2004年3月，Beagle.O電腦病毒使用IE漏 洞攻擊，使用者在Outlook / Outlook Express環境下啟用信件預覽功能，信件中 的script就會啟動，連結到惡意程式網站 下載病毒程式

預覽視窗(讀取窗格)

電子郵件常見收信軟體之設定 Outlook Express 安全性設定 Outlook 安全性設定 (2003,2007,2010) Thunderbird安全性設定 Webmail 安全性設定

Outlook Express 安全性設定 關閉郵件預覽功能 設定郵件規則 [建議]

ㄧ、安全性設定

ㄧ、安全性設定

ㄧ、安全性設定

二、關閉郵件預覽功能 步驟1 選擇要關閉預覽的『收件匣』

二、關閉郵件預覽功能 步驟2 點選『檢視』功能裡的『版面配 置』。

二、關閉郵件預覽功能 步驟3 將『顯示預覽窗格』勾勾取消，按下『確定』

三、設定郵件規則 [建議]

三、設定郵件規則 [建議]

三、設定郵件規則 [建議]

Outlook 2003 安全性設定 關閉郵件預覽功能 垃圾郵件設定 設定郵件規則 [建議]

ㄧ、安全性設定

ㄧ、安全性設定

二、關閉郵件預覽功能

三、垃圾郵件設定

三、垃圾郵件設定

三、垃圾郵件設定

四、設定郵件規則 [建議]

四、設定郵件規則 [建議]

四、設定郵件規則 [建議]

四、設定郵件規則 [建議]

Outlook 2007 安全性設定－關閉自動下載 關閉郵件預覽功能 設定郵件純文字模式 [建議]

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載

二、關閉郵件預覽功能

三、設定郵件純文字模式

三、設定郵件純文字模式

Outlook 2010 安全性設定－關閉自動下載 關閉郵件預覽功能 設定郵件純文字模式 [建議]

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載

二、關閉郵件預覽功能

三、設定郵件純文字模式

三、設定郵件純文字模式

三、設定郵件純文字模式

三、設定郵件純文字模式

Thunderbird 關閉郵件預覽功能 設定郵件純文字模式 [建議]

ㄧ、關閉郵件預覽功能

二、設定郵件純文字模式

Web Mail 安全性設定 關閉郵件預覽功能 設定郵件規則 [建議]

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載 未來開信會阻擋對外連線下載圖片(如下畫面)，若為正常信件，只要按下「解除封鎖，顯示圖片」，即可恢復正常之畫面，若為可疑信件時，請立即刪除。

二、關閉郵件預覽功能

三、設定郵件規則 [建議]

三、設定郵件規則 [建議]

防範社交工程郵件重點 使用電子郵件時提高警覺及培養良 好使用習慣才不易受騙。 讀取信件時，應注意寄件者、主旨 是否有不尋常。 不隨意讀取非業務相關及來路不明 的電子信件內容 不隨意轉發電子信件。 避免電子郵件帳號遭駭守則

防範社交工程郵件重點 不隨意開啟附件及點選超連結，除 非您確認來源或連結無問題。 郵件帳號及瀏覽器應取消記憶密碼 功能，以避免帳號密碼記錄被駭客 利用木馬程式竊取。 [建議] 設定郵件規則，將常往來、 熟悉的人員設定分類，較容易防範 來路不明或詐騙郵件。 避免電子郵件帳號遭駭守則

問題與討論 謝謝指教