德諾科技服務股份有限公司 顧問協理 李哲祥 Jessie Lee jlee@deknow.tw 電子郵件社交工程 資安宣導 德諾科技服務股份有限公司 顧問協理 李哲祥 Jessie Lee jlee@deknow.tw

行政院國家資通安全會報 105年網路攻防演練執行時程 項目 日期 演練範圍 電子郵件社交工程演練 9月12日至 10月28日 總統府、中央研究院、國家安全會議、國家安全局、行政院院本部、立法院院本部、司法院院本部、考試院院本部、銓敘部、考選部、公務人員退休撫卹基金管理委員會、監察院院本部、審計部、直轄市政府及各縣市政府(含所屬一級機關) 實兵演練 10月17日至11月18日 防禦方 攻擊方(22席) 由國家安全局(2)、國防部(6)、法務部調查局(4)、內政部警政署刑事警察局(2)及技服中心(8)等聯合編成 跨機關綜合演練 11月21日至 11月25日 (擇期3天) 技術演練：總統府、TWNIC 情境演練：行政院國家資通安全會報與相關防護權責機關、調查局、刑事警察局、TWCERT/CC、技服中心、ISP業者主管機關（國發會、科技部、教育部、通傳會）、行政院國土辦及交通部 （演練地點預定於行政院會議室） 演練研討會議 12月9日 (預定) 上述演練機關 （會議地點預定於臺大醫院國際會議中心）

電子郵件社交工程演練執行說明 參與演練機關 包含總統府及四院(本部及所屬A 、B級機關)、行政院院本部、直轄市政府及各縣市政府等35個機關 參與演練對象 正副首長 (含秘書 / 機要人員) 一級主管 (含秘書人員) 一般同仁 演練時間 寄發時間不分上、下班，但排除例假日

105年演練機關評分辦法

電子郵件社交工程防護得分計算方式 =(100%-開啟率)＊15 ＋(100%-點閱率)＊15 將以執行「 開啟率」與「點閱率」2項評分 開啟率=(信件開啟人數/寄發人數) 點閱率=(點閱附件或連結人數/寄發人數) 實得分數 =(100%-開啟率)＊15 ＋(100%-點閱率)＊15 檢視演練機關電子郵件社交工程演練郵件點擊附件或連結之情形 電子郵件社交工程防護(30%) 檢視演練機關電子郵件社交工程演練郵件開啟之情形

何謂社交工程? 社交工程，英文為Social Engineering，是以影響力或說服力來欺騙他人以獲得有用的資訊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。 簡單來說「社交工程」，就是詐騙！透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙…

社交工程的各種攻擊方法 電話詐騙。 電子郵件詐騙。 網路釣魚 。 圖片、網頁內的惡意程式 。 偽裝修補程式 。 即時通 (MSN, Yahoo, Skype...) 。

何謂電子郵件社交工程攻擊 簡單的說，就是透過電子郵件為手段的詐騙行為。 攻擊者運用的是「人性的弱點」 貪心：撿便宜的個性 好奇：探索八卦訊息的個性 不在意：沒那麼倒楣吧的想法 警覺力：無所謂後果的嚴重性 何謂電子郵件社交工程攻擊 社交工程，英文為Social Engineering，在駭客理論中，指利用人性弱點、利用人際交往上的漏洞，來獲取重要資料的行為。專門指不需要使用任何的程式、科技技術即可獲取帳號、密碼、信用卡密碼、身分證號碼、姓名、地址或其他可確認身分或機密資料的方法。這是近年來造成企業或個人極大威脅與損失的駭客攻擊手法 攻擊者運用的是「人性的弱點」包含有： 貪心：撿便宜的個性。 好奇：探索八卦訊息的個性。 不在意：沒那麼倒楣吧的想法。 警覺力：無所謂後果的嚴重性。 需所謂「電子郵件社交工程攻擊」就是以電子郵件為媒介進行之社交工程攻擊行為。

認識社交工程攻擊 中繼站 駭客 受害者 縱深防禦 1.駭客設計攻擊陷阱（惡意附件或連結） 2.將惡意程式或連結置入偽造郵件之中 3.輕易跨越縱深防禦客陣地，寄送給特定對象 4.受害者開啟電子郵件 5.啟動攻擊陷阱，透過中繼站回報 6.遠端駭客進行資料竊取

每一位使用者都有可能變成入侵攻擊的跳板。 一銀ATM事件 每一位使用者都是駭客入侵的主要目標， 每一位使用者都有可能變成入侵攻擊的跳板。 http://www.ithome.com.tw/news/107294

五月份出現假健保卡報稅郵件

冒用健保局名義竊取個資 攻擊者冒用健保局「健保局北區業務組」名義寄發惡意郵件。 對象：中小企業主或會計人員。 收件者點選連結至惡意網頁，自動下載「二代健保補充保險費扣繳辦法說明」的RAR檔 木馬程式偽裝成DOC文件檔，其實為執行檔(EXE)。 攻擊者遠端監看被害人電腦桌面並瀏覽、複製電腦中檔案內容。 再利用電腦內通訊錄等資料進行下一波針對性攻擊，如法炮製成功盜取了高達1萬多筆個資

電子郵件社交攻擊目的 攻擊 控制主機。 竊取資料。 詐騙 信用卡資料。 各種帳號密碼。 廣告 惡意廣告。 網頁綁架。

曾出現之惡意信件檔案標題 「李登輝、郭冠英與馬英九」 「駐外館處設置的內部考慮.doc/pdf」 「臺灣的十字架.pdf」 「飯島愛歷部AV精彩截圖.ppt」 「極品大陸名模，女神玉體！(限).rar」 「馬總統滿意度；2012年總統大選民調.pdf」 「中國暨兩岸情勢日報.pdf」 「特赦救扁連署.pdf」

社交工程案例 時間：2014/11/7 主旨：敬邀出席外交部11月7日上午座談會。

社交工程案例 附件檔案： 外交部外交及國際事務學院講座教具需求表.doc 香港政改和佔中行動對台灣未來之可能影響座談會題綱.exe

防範電子郵件社交工程攻擊

不要開啟來路不明的電子郵件 來路不明的郵件，主旨與工作及業務無關 寄件者非相關業務往來人員 請直接刪除 不要轉寄不可信任來源之郵件(以避免擴大受害者)

識別郵件來源， 原則上可以檢視「郵件原始檔」 … 識別郵件來源， 原則上可以檢視「郵件原始檔」 …

檢視「郵件原始檔」 操作步驟

檢視「郵件原始檔」 操作步驟

檢視「郵件原始檔」 操作步驟 yahoo.com

偽冒Microsoft的郵件…

偽冒Microsoft的郵件… 只由寄件人信箱來判斷並不正確 bluenet@siol.net

真正Microsoft的郵件

奇怪的寄件者/主旨

方法論 關閉預覽視窗 關閉自動下載圖片 若能做到下述，就更好囉!! 設定郵件規則 考慮設定以純文字格式讀取郵件 不要自動回覆讀信回條

為什麼要求不能「開啟郵件」？ 您可能覺得只要不開郵件附件和不點擊連結，就不會中招… 但其實有些惡意程式是利用ActiveX功能來執行的。 由於您的電子郵件可能是HTML格式，而HTML可以撰寫ActiveX，所以您只要瀏覽電子郵件，就觸發ActiveX執行！

啟用預覽視窗等同「開啟郵件」 利用IE漏洞，不開啟附檔也會中毒 2004年3月，Beagle.O電腦病毒使用IE漏洞攻擊，使用者在Outlook / Outlook Express環境下啟用信件預覽功能，信件中的script就會啟動，連結到惡意程式網站下載病毒程式

預覽視窗(讀取窗格)

電子郵件常見收信軟體之設定

Mail2000安全設定

安全性設定 關閉郵件預覽功能 設定郵件規則 [建議] Web Mail 安全性設定 關閉郵件預覽功能 設定郵件規則 [建議]

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載 未來開信會阻擋對外連線下載圖片(如下畫面)，若為正常信件，只要按下「解除封鎖，顯示圖片」，即可恢復正常之畫面，若為可疑信件時，請立即刪除。

二、關閉郵件預覽功能

三、設定郵件規則 [建議]

三、設定郵件規則 [建議]

安全性設定－關閉自動下載 關閉郵件預覽功能 設定郵件純文字模式 [建議] Outlook 2010 安全性設定－關閉自動下載 關閉郵件預覽功能 設定郵件純文字模式 [建議]

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載

ㄧ、安全性設定－關閉自動下載

二、關閉郵件預覽功能

三、設定郵件純文字模式

三、設定郵件純文字模式

三、設定郵件純文字模式

三、設定郵件純文字模式

iPhone 設定 HTC/Android設定 智慧型手機 iPhone 設定 HTC/Android設定

社交工程介紹與防範(收、發電子郵件保護措施11) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施11) iPhone關閉郵件預覽功能 察看手機是否顯示預覽郵件內容。 如左圖紅框內為顯示郵件預覽內容

社交工程介紹與防範(收、發電子郵件保護措施12) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施12) iPhone關閉郵件預覽功能 選擇紅框內之設定/郵件、聯絡資訊、行事曆選項

社交工程介紹與防範(收、發電子郵件保護措施13) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施13) iPhone關閉郵件預覽功能 選擇點選紅框內之郵件預覽選項

社交工程介紹與防範(收、發電子郵件保護措施14) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施14) iPhone關閉郵件預覽功能 由此可察看紅框內目前郵件預覽為2行

社交工程介紹與防範(收、發電子郵件保護措施15) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施15) iPhone關閉郵件預覽功能 點選紅框內目前郵件預覽改為無之選項

社交工程介紹與防範(收、發電子郵件保護措施16) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施16) iPhone關閉郵件預覽功能 再查看手機顯示預覽郵件均已消失不再顯示郵件預覽內容。

社交工程介紹與防範(收、發電子郵件保護措施17) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施17) iPhone關閉載入遠端影像 要避免讀取郵件時自動載入遠端影像，可以透過設定的關閉來達成。 右邊的畫面，可以在【設定】裏頭找到【郵件、聯絡資訊、行事曆】的選項。

社交工程介紹與防範(收、發電子郵件保護措施18) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施18) iPhone關閉載入遠端影像 點了【郵件、聯絡資訊、行事曆】之後，滑動到下方的【郵件】項目下就會出現【載入遠端影像】選項。 將【載入遠端影像】選項設為關閉，便可以避免開啟郵件時，自動載入遠端影像。

社交工程介紹與防範(收、發電子郵件保護措施19) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施19) iPhone關閉載入遠端影像 當開啟的郵件內包含遠端影像時，便可以看到在郵件的下方出現【此郵件包含了未載入的影像】的訊息，如右圖紅框所示。

社交工程介紹與防範(收、發電子郵件保護措施20) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施20) Android by HTC關閉郵件預覽功能 察看手機是否顯示預覽郵件內容。 如左圖紅框內為顯示郵件預覽內容

社交工程介紹與防範(收、發電子郵件保護措施21) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施21) Android by HTC關閉郵件預覽功能 點選手機之menu鍵，會出現藍色框內等六項選項 點選紅框內之更多

社交工程介紹與防範(收、發電子郵件保護措施22) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施22) Android by HTC關閉郵件預覽功能 處線新增帳號及設定兩個選項 點選紅框內之設定選項設定

社交工程介紹與防範(收、發電子郵件保護措施23) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施23) Android by HTC關閉郵件預覽功能 選擇紅框內之一般設定選項

社交工程介紹與防範(收、發電子郵件保護措施24) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施24) Android by HTC關閉郵件預覽功能 選擇紅框內之直向內文預覽選項

社交工程介紹與防範(收、發電子郵件保護措施25) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施25) Android by HTC關閉郵件預覽功能 由此可察看紅框內目前郵件預覽為2行

社交工程介紹與防範(收、發電子郵件保護措施26) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施26) Android by HTC關閉郵件預覽功能 點選紅框內目前郵件預覽改為無之選項

社交工程介紹與防範(收、發電子郵件保護措施27) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施27) Android by HTC關閉郵件預覽功能 再查看手機顯示預覽郵件均已消失不再顯示郵件預覽內容。

社交工程介紹與防範(收、發電子郵件保護措施28) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施28) Android by HTC設定僅文字讀信 如同前面說明設定Android by HTC預覽選項的方式，點選【設定】之後，便可點選【傳送及接收】，如右圖紅框所示。

社交工程介紹與防範(收、發電子郵件保護措施29) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施29) Android by HTC設定僅文字讀信 點選進去之後，在【接收設定】裡面，點選【郵件大小限制】，便會顯示【郵件大小限制】 ，如右圖紅框所示。 在【郵件大小限制】，選取【5KB(僅文字)】這個項目。

社交工程介紹與防範(收、發電子郵件保護措施30) 9 September 2017 社交工程介紹與防範(收、發電子郵件保護措施30) Android by HTC設定僅文字讀信 當開啟的郵件內包含圖片時，便可以看到在郵件的上方出現【選取[顯示圖片]即可顯示內嵌的圖片】的訊息，以及【顯示圖片】的按鈕，而下方的圖片則僅顯示圖片網址而未顯示圖片，如右圖紅框所示。

結語

做好 郵件設定 良好 使用習慣 保持警覺審慎查證 關閉自動下載圖片 關閉預覽視窗 設定純文字格式讀取郵件 不要自動回覆讀信回條 不開啟來路不明的電子郵件 不轉寄不可信任來源之郵件(以避免擴大受害者) 為何我會收到這封郵件 我是否應該收到這封郵件 我是否應該開啟這封郵件

保持警覺，審慎查證 1-2-3 1.「為何我會收到這封郵件」 2.「我是否應該收到這封郵件」 3.「我是否應該開啟這封郵件」 確認寄件來源及寄件者。 2.「我是否應該收到這封郵件」 確認郵件主旨及郵件內容。 3.「我是否應該開啟這封郵件」 是否與工作相關。 不開啟(點選)連結是否有影響。 審慎查證（必要時電洽寄件者）。

其他防護事項 重要資料要備份、重要資料要備份、重要資料要備份 密碼的使用及保護 (個人帳號權限、網域權限) 自動Windows/Office Update (注意開發環境) 安裝防毒軟體 (更新病毒碼) 啟用個人端防火牆功能 (檢視預設功能) 網路共享要設定權限 (不只是磁碟機的權限)

Q&A