成大醫院斗六分院 資訊安全-網際網路安全 資訊室 陳威文 副主任

惡意電子郵件與社交工程 各位長官同仁大家好，我是資訊室陳天亮，今天要向各位報告資訊安全的一個主題：惡意電子郵件與社交工程，我想電子郵件大家都用的很普遍了，也都把它當作一項方便迅速的溝通工具，今天的主題在電子郵件前面加上惡意兩個字，是要提醒大家使用這項工具的時候，由於某些不懷好意的人的作為，會對我們造成相當的困擾甚至對個人及單位的金錢名譽上的損失。而社交工程指的就是詐騙的意思，所以可以看出來這個題目是要講電子郵件詐騙，這就是待會要向各位報告的主要內容。 現在讓我們先來看一封電子郵件。 2 2

偽裝信件 這是當時剛發生四川地震時，大家可能都有看過這樣的一封電子郵件，請注意大標題底下那一行的最右邊<詳情請參考>，這是一個所謂的超鏈結，我們在上網看網頁時也常常遇到，表示點下去有另外一頁可以看。 首先我要告訴大家的是，這是一封偽冒的信，偽冒信的意思就是：寄件者為了讓您打開這一封信，而以各種標題引起您的注意，而等你打開信件就是上當的第一步了，如果再去點超鏈結，例如這一封信裡的<詳情請參閱>，那就完全著了道了，這個超連結只是一個偽裝，有心人士可以利用這個超鏈結連結至惡意網站或執行惡意程式。 如果你真的曾經開啟過現在展示的這一封信，請不必太懊惱，或擔心電腦已中毒或被後門程式入侵，因為這是資訊室為了測試及宣導社交工程，自行製作的偽冒測試信，不會有任何的危害，可能有的人真的去點<詳情請參閱>這個超鏈結，那應該都有看到底下這一個畫面。 3 3

實作偽裝信件 鎖定要取得Mail的帳號密碼 去網路上找斗六人員的Email帳號 引誘點選URL，指向假的WebMail頁面 http://www.hosp.ncku.edu.tw/WebPage/test/dou6.htm 去網路上找斗六人員的Email帳號 去科室網頁找，或google找@dou6.hosp.ncku.edu.tw 偽裝寄件者，並主動寄出信件 引誘點選URL，指向假的WebMail頁面 取得帳號後，導向正確的網頁

不要任意點選網址 5

自建網站之注意事項 各位長官同仁大家好，我是資訊室陳天亮，今天要向各位報告資訊安全的一個主題：惡意電子郵件與社交工程，我想電子郵件大家都用的很普遍了，也都把它當作一項方便迅速的溝通工具，今天的主題在電子郵件前面加上惡意兩個字，是要提醒大家使用這項工具的時候，由於某些不懷好意的人的作為，會對我們造成相當的困擾甚至對個人及單位的金錢名譽上的損失。而社交工程指的就是詐騙的意思，所以可以看出來這個題目是要講電子郵件詐騙，這就是待會要向各位報告的主要內容。 現在讓我們先來看一封電子郵件。 6 6

常見的自建網站軟體 Php+MySQL+Apache IIS + ASPX 自行建立主機 主機他人代管 Xoops DotNetNuke eg. 總院資訊室、公共事務室 主機他人代管 eg.人事室

敏感機密文件的外洩 駭客入侵 使用者缺乏安全意識 利用架站軟體或作業系統的弱點 非資訊技術缺失，人為面 作業系統需做安全性更新 Windows：Windows Update Linux：CENTOS yum 架站軟體之安全性更新 PHP/MySQL/Apache 之安全性更新 DotNetNuke模組之更新 使用者缺乏安全意識 非資訊技術缺失，人為面

人為疏失所造成的機密外洩

程序書 site:d6www.hosp.ncku.edu.tw

查詢網站內有無密碼資訊 Google搜尋以下字串，代表找成大網站中內容有PWD字眼者 intext:PWD site:ncku.edu.tw 15

Google Hacking 16

限制分享電子文件 不要放在網路上分享 有分享之需求時 帳號密碼管控 限制存取來源IP 網路上的芳鄰，只能在區域網路 FTP Server，仍可能有漏洞為駭客入侵 由程式管控，然而規劃不良，仍有可能不用密碼便進入 限制存取來源IP 程式中去管控，然而規劃不良，仍有可能不用密碼便進入 網站伺服器中設定，也可由對外的防火牆設定 區隔公開網站和非公開網站的實體位置 不同的機器 不同的虛擬目錄或不同的子目錄

電子文件不讓搜尋引擎搜尋 不公開的對外網站，依舊難逃被搜尋引擎找到 放在內部網路 限制存取的IP範圍 使用Robots.txt Google Tool Bar 網站有帳號密碼不見得不會被Google所搜尋 放在內部網路 限制存取的IP範圍 使用Robots.txt 不見得所有的搜尋引擎都支援

IIS限制網站連線範圍

TOMCAT限制到訪IP 設定server.xml <Context path=“/目錄所在位置" ...> 　　<Valve className="org.apache.catalina.valves.RemoteAddrValve" 　allow="192.168.*.*，172.16.*.*， 140.116.*.*163.28.112.100" deny=""/> </Context>

Apache Server限制到訪IP 設定檔http.conf <Location /MyFolder> #設定連結位址       Order deny,allow       Deny from all    #先拒絕全部IP連結       Allow from 140.116. 253.0/24 #開放允許的IP位址 </Location>

Google網站管理員工具

Robots.txt放置位置

刪除Google檢索出之文件

網頁內容注意項

其他注意事項 會議記錄、ISO文件等不要放在外部網路。 電話號碼非必要不要與人員姓名一同公開 Email非必要不要公開 google Search 方式： “會議記錄” site:hosp.ncku.edu.tw 電話號碼非必要不要與人員姓名一同公開 Email非必要不要公開 Google Search方式： “林炳文” mail site:hosp.ncku.edu.tw

勿登載他人電話於網路

Email資訊若非必要不刋登在網路 容易被駭客利用，以社交工程方式送信件 實際做法Demo1 製作本院Mail的假網站 http://140.116.253.119/WebPage/test/mail.htm 假造院長名義發Mail 在 Email中要求成員Login(指向上述網站)，以騙取密碼 查看一下被取得的密碼

使用習慣上的搭配 不要在Web Server上面上網 若只對內公開的文件，需集中放置 若是必需，請調整其安全性 若只對內公開的文件，需集中放置 若可行，需放在不同的實體機器 至少做到不公開的文件要放在某個目錄下(可分子目錄)，針對該目錄加以管控來源IP 若http及ftp的目錄相同，需強化ftp密碼，並定期更改密碼

成大醫院網站防護 謝謝指教