電子郵件社交工程及防護 資訊中心網路管理組 組長 蕭明清 2009/04

電子郵件社交工程及防護 電子郵件社交工程 攻擊類型 範例說明 電子社交工程防護 分辨電子郵件真偽 基本防護工作 機密資料防護 結論

賽門鐵克網際網路安全威脅研究報告 在2008年間，惡意程式碼以前所未有的速度飛快成長，主要鎖定目標為電腦用戶的機密資料。 偵測到的威脅當中，有90%意圖竊取機密資料；其中具有鍵盤側錄(keystroke-logging)能力的威脅占了76%，該功能可用以竊取如網路銀行帳戶憑證等資料，較2007年的72%為高。 平均每月於全球阻擋超過2億4千5百萬筆惡意程式碼攻擊。 網頁瀏覽(web surfing)是新病毒感染的主要來源。 網路釣魚(phishing)活動持續成長，以金融服務做為幌子的網路釣魚占了2008年的76%。 垃圾郵件(spam)的數量也呈現持續成長的趨勢，2008年較2007年成長了192%。

95年電子郵件社交工程演習統計 測試對象：6,630政府機關，13,575位資安聯絡人 會開啟惡意信件之聯絡人 會點選惡意信件中連結之聯絡人 3,239人，佔總人數13,575人的23.9%(94年25.2%) 會點選惡意信件中連結之聯絡人 1,742人，佔總人數13,575人的12.8%(94年14.4%) 開啟惡意信件次數 7,767次，佔發信數81,450封的9.5%( 94年8.5%) 點選惡意信件中連結次數 2,750次，佔發信數81,450封的3.4%( 94年3.5%) 1449個單位(21.9%)有聯絡人點選連結( 94年24.1%)，其中284個單位(4.3%)有兩個以上聯絡人點選連結( 94年4.6%)。

電子郵件社交工程攻擊類型 假冒寄件者 使用讓人感興趣的主旨與內文 含有惡意程式的附件 利用零時差攻擊

假冒寄件者 假冒使用者信任的人，讓使用者相信電子郵件的內容，而去開啟附件或超連結，暗中啟動木馬程式。 假冒寄件者方式： 顯示名稱假冒 電子郵件帳號假冒 完全假冒 電子簽章假冒

假冒寄件者方式 - 顯示名稱、電子郵件帳號假冒 假冒寄件者方式 - 顯示名稱、電子郵件帳號假冒 看似朋友寄來或電子報

假冒寄件者方式－完全假冒 使用電子郵件協定的弱點，完全假冒寄件者的名稱以及電子郵件位址；甚至透過入侵寄件者的電腦來寄發電子郵件。

假冒寄件者方式－電子簽章假冒 駭客申請一個假的電子簽章，加在電子郵件裏，以便欺騙使用者相信該電子郵件的正確性。 右圖中紅色小方塊的數位簽章標誌只是表示該電子郵件被簽章過，但並不保證簽章的正確性。

使用讓人感興趣的主旨與內文 使用收信者有興趣的生活、政治、工作、情色等相關議題的主旨。例如： 週休二日的最好去處 漏洞修補程式 小遊戲 公文09-881234567號 藝人露點照、偷拍、林稚齡爆乳寫真－搶先曝光版 …

含有惡意程式附件 含有執行檔（EXE） 含有惡意程式的影片檔（wmv） 含有惡意程式的Office文件（doc） 注意檔名： [xxxx.bmp .exe] 含有惡意程式的影片檔（wmv） 含有惡意程式的Office文件（doc） 含有惡意程式的圖檔（jpg） 含有惡意程式的壓縮檔（zip）

利用零時差攻擊 空窗期(1) 空窗期(2) 修補期 安全期 利用各種類型的應用程式尚未被發現的弱點。 駭客隨時可能發展出攻擊程式，無徹底解決的方式，但可預做準備。 （可預期的風險） 無解、不知威脅存在（不可預期的風險） 空窗期(1) 空窗期(2) 修補期 安全期 軟體弱點被發現 軟體弱點 資訊公佈 軟體弱點修補釋出 更新修復 軟體弱點

電子郵件社交工程應用案例 網路釣魚(Phishing) 垃圾郵件(SPAM Mail) 駭客架設與官方公司幾乎一模一樣的網站，再透過電子郵件告知使用者資料過期、無效需要更新或密碼洩漏基於安全因素進行身分驗證等理由，騙取個人連線上假冒的網站，進而取得帳號與密碼。 例如: www.firstbank.com.tw (正確) www.f1rstbank.com.tw (有問題 i -> 1) 例如:偽冒 CNN 的釣魚信件攻擊，點選鏈結後，螢幕上會顯示需要更新瀏覽器的 Flash 播放器。 垃圾郵件(SPAM Mail) 內容相同的電子郵件，未經收信人許可，大量寄給很多人。可能內含惡意鏈結、程式。

電子社交工程防護

分辨電子郵件真偽 分析顯示名稱與電子郵件帳號 分析郵件主旨與附件 分析電子簽章 追蹤寄信來源 最高指導原則：來路不明郵件 直接刪除

分析顯示名稱與電子郵件帳號 仔細比對顯示名稱與寄件者郵件地址是否一致。

釣魚網站 http://yahoo.s3.lognic.cn/bak/

分析郵件主旨與附件 仔細分辨主旨與附件，不要受吸引點選任何鏈結或開啟附件檔案。 陌生郵件請一律刪除，更不要依信件指示去做（尤其與帳號密碼相關事項）。 網路管理組所發信件必有聯絡同仁及校內電話分機。 網路管理組不會寄發要你確認帳號密碼之英文信件。

分析電子簽章 檢查『數位簽署者』欄位的電子郵件是否是正確的寄件者電子郵件地址 「檢視憑證」確認憑證的發行者是合法的CA公司、憑證認證的主題是正確的寄件者

追蹤寄信來源 郵件標頭可以追蹤到發信點，也可以判斷是否為正確寄件者所寄出的郵件。

基本防護工作 啟用個人防火牆 安裝個人防毒軟體(本校授權軟體 Symantec) 降低使用者使用權限 執行各種作業系統、應用軟體更新及設定 Windows Update、Microsoft Update Internet Explorer 安全性設定 收信軟體安全性設定 正確的資安觀念與危機意識

基本防護工作 關閉Autorun防範隨身碟病毒（Vista）

基本防護工作 [開始]->[執行] 輸入 gpedit.msc 點選[電腦設定]->[系統管理範本]-> [系統]->[關閉自動播放]-> [設定]點選[已啟用]及 [停用自動撥放在所有磁碟機]

基本防護工作 收信軟體勿使用記憶密碼

基本防護工作 Outlook軟體設定

基本防護工作 Outlook軟體設定

基本防護工作 設定防護將不會自動由網站下載圖片等鏈結資料，以避免遭確定郵件地址存在，而收到更多垃圾信件。

基本防護工作 微軟的outlook express收信軟體，建議進行以下安全性的設定： 取消「郵件預覽」 取消「在預覽窗格檢視郵件時自動下載郵件」 勾選「以純文字閱讀所有郵件」

基本防護工作 WebMail中請於喜好設定『封鎖外部內容直至要求為止』

基本防護工作 瀏覽器防護設定

基本防護工作 瀏覽器防護設定

機密資料防護 不論使用哪一種防衛機制，駭客總能找到一條入侵路徑。 實體隔離 資料加密

正確的資安觀念與危機意識 預防詐騙手法，提高警覺加強危機意識 不隨意點選郵件鏈結或開啟附件 不隨意下載軟體(尤其利用P2P檔案分享軟體) 定期做系統更新與資料備份

結論 收取電子郵件時應有的習慣 平時作為 檢查信件真偽，確認信件內容真實度 不輕易開啟郵件中的超連結及附件 開啟超連結或檔案前，確認對應軟體（如IE、Office）都保持在最新的修補狀態。 平時作為 做好基本防護 養成正確資安觀念