106年 防範惡意電子郵件社交工程教育訓練 計中網路組 呂思瑩
Agenda 計畫說明 社交工程說明 防範方式
計畫說明
為什麼要推動防範社交工程 公教人員接觸機密資訊設備機率高 為提高各學校人員警覺性,降低社交工程攻擊風險 資安發字第0980100328號函
演練內容說明 102年9月9日 1小時 依102年9月9日行政院頒「國家資通安全通報應變作業綱要」,每年定期舉辦防範惡意電子郵件社交工程研練 各機關學校人員每年至少需接受1小時社交工程防制宣導講習
計劃時程表 準備作業 第二次演練 通知社交工程演練 第一次演練 配合教育部辦理 5月中下旬 學校自行辦理 依公文要求提供名單 教育訓練 5/9、5/12、5/15 八月 九月 準備作業 第二次演練 通知社交工程演練 第一次演練 配合教育部辦理 學校自行辦理 5月中下旬
成果時程表 加強宣導 公文提供結果 第一次演練後 第二次演練後 大約是11月 大約是7月 違反社交工程者 強制選讀資安線上課程 社交網路安全及社交工程防範II 加強宣導 公文提供結果 第一次演練後 第二次演練後 大約是11月 大約是7月
評量標準及目標 惡意郵件開啟率 惡意連結(或檔案)點擊率 開啟惡意郵件人數 / 機關提報 人數 應低於10%以下 開啟連結(或檔案)人數 / 機關 提報人數 應低於6%以下
計數說明
二 社交工程說明
何謂社交工程? 社交工程,英文為Social Engineering 是以影響力或說服力來欺騙他人以獲得有用的資訊,這是近年來造成 企業或個人極大威脅和損失的駭客攻擊手法。
社交工程的各種攻擊方法 MAIL詐騙 網路釣魚 社交工程 惡意程式 通訊詐欺
實際狀況
社交工程郵件
來自附加檔案或竄改過的網址
攔截了正常往來的信件
何謂 APT ? 進階持續性滲透攻擊(Advanced Persistent Threat,APT) 簡單來說就是一種針對性的持續威脅。它並不會中斷日常的 網路與IT服務,散布對象也相當侷限在少數特定單位與企業, 目的在於長期竊取特定情報。
Advanced Persistent Threat,APT 設定目標 蒐集資料 寄送偽造郵件 獲取帳密 截取目標資訊 最難預防的便是APT社交工程攻擊,最簡單也有效的方式。 包含偽裝成相識但許久未見的人,並附上附件檔案 假裝成業務相關單位或上級機關的業務要求,並附上正確版本的文件, 如:工作會報。 公司內部資訊室的軟體更新訊息,甚至附上最新更新工具。
勒索軟體 Ransomware 是一種特殊的惡意軟體,讓你失去對自己系統或資料的控 制,而且如果不付錢給這攻擊的背後黑手也就無法拿回來。 第一個版本早在2005年就在俄羅斯出現。 從那時候起,勒索軟體傳遍了全球,發展出許多不同的版 本。某些類型的勒索軟體會偽稱為當地的警察機構:贖金 以「罰款」的形式出現,讓使用者不得不馬上支付。有些 較複雜的警察勒索軟體會使用受害者的本土語文。有些甚 至會在受害者的本土語文中包含了語音訊息。
勒索軟體 Ransomware ( Locky ) 電子郵件附加檔案 被夾帶惡意程式 執行後電腦被綁架 ESET全球威脅實驗室發現,自二月底開始,有大量夾帶JS / TrojanDownloader.Nemucod木馬下載器的垃圾郵件,利用殭屍網路技術,將垃圾郵件發送至世界各地,當被害者誤點擊執行木馬下載器時,將自動下載Win32 / Filecoder.Locky.A勒索病毒,導致被害者電腦內的資料檔、影音檔及系統檔等重要資料被強制加密,並要求被害者付贖金才得以還原檔案。 什麼是JS / TrojanDownloader.Nemucod? JS / TrojanDownloader.Nemucod (ESET檢測名稱)是一木馬惡意程式,也稱作木馬下載器,大部分會偽裝成一般文件檔或壓縮檔,例如word、excel,並附加至垃圾郵件當中,讓受害者認為是訂單資料或匯款明細等文件。該文件中包含一個JavaScript檔(檔案格式為 .js),當使用者執行後,會自動下載Win32 / Filecoder.Locky.A勒索病毒及其它惡意程式。 什麼是Win32 / Filecoder.Locky.A? Win32 / Filecoder.Locky.A (ESET檢測名稱)是一變種勒索病毒,可 100多種類型的檔案進行加密,例如:圖片、視頻、資料庫及網路驅動程式等,重新命名為”.locky”檔案格式及改變系統桌布顯示,並要求被害者支付贖金。
還有什麼呢?
LINE 》Hidden Catch!
找出方向相反的禁止符號
釣魚網站
一場沒有中立國的戰爭(真實案例模擬)
社交工程郵件範例 教育部惡意電子郵件警覺性測試樣版
寄件者:1Thome<1theme@yahoo.com.tw> 駭客攻擊8家券商 金管會:恐還有下波
寄件者:黃泰豐<larry1217@gmail.com> 主旨:「食色性也」不是孔子說的
寄件者:綠色地球<xm4nk499@yahoo.com> 主旨:別再用寶特瓶裝水了!各項研究告訴你它可怕的真相!
寄件者:Hellen<hellen520@gmail.com> 染唇妝過時啦!2017跟著李聖經擦上微醺MLBB唇才最潮
寄件者:韓流最前線<girlpretty@hotmail.com> 主旨:變更嬌小,惹人疼!「胖胖單品」逆轉勝
寄件者:李蓉芬<melody8056@msa.hinet.net> 主旨:小二生超狂造句 讓網友驚呼:他超懂人性
寄件者:杜肯<kentdo5717@outlook.com> 主旨:正妹車服員神到了 曾是黑澀會美眉
寄件者:新北資訊通<newtaipeinews@yahoo.com> 主旨:新北打造智慧城 力推手機無線充電服務
寄件者:LIME news<limemews@hotmail.com> 主旨:領務局LINE新功能 出國旅遊添保障
寄件者:巨富網<richnessnet@outlook.com> 貨幣戰開打?中國單月狂拋660億美元美債!創5年新高
三 防範方式
評量標準及目標 惡意郵件開啟率 惡意連結(或檔案)點擊率 開啟惡意郵件人數 / 機關提報 人數 應低於10%以下 開啟連結(或檔案)人數 / 機關 提報人數 應低於6%以下
預防方法 關閉自動下載 關閉郵件預覽 提升 安全性 純文字讀取 不自動回覆 回條
預覽視窗(讀取窗格)
為什麼要求不能「開啟郵件」? 您可能覺得只要不開郵件附件和不點擊連結,就不會中招… 但其實有些惡意程式是利用ActiveX功能來執行的。 由於您的電子郵件可能是HTML格式,而HTML可以撰寫ActiveX,所以您只要 瀏覽電子郵件,就觸發ActiveX執行! 又或者是利用script、JAVAscript功能來執行的。 使用者在Outlook / Outlook Express環境下啟用信件預覽功能,信件中的 script就會啟動,連結到惡意程式網站下載病毒程式
二 電子郵件常見收信軟體之安全性設定 Webmail 安全性設定 Outlook 安全性設定(2007,2010,2013)
二 Web Mail 安全性設定 關閉郵件預覽功能 設定郵件規則 [選擇性]
一、安全性設定-關閉自動下載 二、關閉郵件預覽功能
關閉自動下載 [結果] 未來開信會阻擋對外連線下載圖片(如下畫面),若為正常信件,只要按下「解除封鎖,顯示圖片」,即可恢復正常之畫面,若為可疑信件時,請立即刪除。
三、設定郵件規則 [選擇性]
三、設定郵件規則 [選擇性]
二 Outlook 2007 安全性設定-關閉自動下載 關閉郵件預覽功能 設定郵件純文字模式 [選擇性]
一、安全性設定-關閉自動下載
一、安全性設定-關閉自動下載
一、安全性設定-關閉自動下載
二、關閉郵件預覽功能
三、設定郵件純文字模式
三、設定郵件純文字模式
二 Outlook 2010 & 2013 安全性設定-關閉自動下載 關閉郵件預覽功能 設定郵件純文字模式 [選擇性]
一、安全性設定-關閉自動下載
一、安全性設定-關閉自動下載
一、安全性設定-關閉自動下載
二、關閉郵件預覽功能
三、設定郵件純文字模式
三、設定郵件純文字模式
三、設定郵件純文字模式
三、設定郵件純文字模式
重點歸納
三不&三要 不上鉤 不打開 不點擊 要備份 要確認 要更新 標題特別吸引人的郵件,開啟前務必再三確認 不隨便打開email附加檔案 重要資料定期備份 要備份 開啟電子郵件前先確認寄件者 要確認 安裝的防毒軟體要隨時更新病毒碼 要更新
來個小測驗吧!
下列哪一項不屬於「社交工程攻擊」手法? 郵件仿冒或偽裝 針對帳號密碼採行字典攻擊法 網路釣魚 電話詐騙個人資訊。 答案:B
下列何者不是防範電子郵件社交工程的有效措施? 安裝防毒軟體,確實更新病毒碼 確認信件是否來自來往單位 取消信件預覽功能 制訂企業資訊安全政策,禁止使用非法郵件軟體。 答案:D
下面哪一項不是勒索軟體主要的感染途徑 網路廣告 被駭客入侵的網站 隨身碟 惡意郵件 答案: C 勒索軟體會加密隨身碟的資料,但目前還不會潛伏於隨身碟來進行擴散
下面哪一項不是預防感染勒索軟體的方法 定期更新軟體 備份重要文件 只打開信任的郵件 安裝防護軟體 答案:B 備份文件可以減少被勒索軟體攻擊後的損失,但不是預防感染的方法
勒索軟體危害很大, 是因為 目前沒有人可以躲過它的危害 因為它是用最新科技與最新技術組成的軟體 很多人沒有裝任何防護軟體 它會將硬碟整個格式化 答案:C 正確上網習慣與裝設防護軟體可以躲過勒索軟體危害 勒索軟體用的技術並不新穎也不先進 絕大部份的勒索軟體是進行檔案加密, 只有很少數很少數才有格式化整個硬碟的功能
成績揭曉
Thank You