建國科技大學 「雲端服務與社交工程」講習 菁智科技股份有限公司 專案經理：曾照宏

大綱 何謂社交工程 社交工程與攻擊手法 何謂網路釣魚 如何避免落入社交工程與網路釣魚的圈套 結論

資通安全三部曲

何謂社交工程 利用人性弱點的詐騙技術 利用與人互動的技巧 以影響力或說服力來欺騙他人以獲得有用的資訊 社交工程(Social Engineering)，是一種利用人性弱點 (疏忽)，並結合心理學知識如欺騙、偽裝、恐嚇、說服、 恭維等以獲取(騙取)有用資訊的一種駭客攻擊手法。 利用與人互動的技巧 不用程式即可獲取帳號、密碼、信用卡密碼、身分證號 碼、姓名、地址或其他可確認身分或機密資料的方法。 這些方法多半是使用與人互動的技巧。 以影響力或說服力來欺騙他人以獲得有用的資訊 詐騙集團

駭客入侵電腦系統常用的三種方式 利用系統的漏洞入侵(零時差攻擊) 暴力猜測帳號密碼 騙取帳號密碼 社交工程 網路釣魚

校內佈有重重防護是否就可安心？ 帳號s1234 密碼abcd “謝謝” 我是計中，您的密碼到期，請給我就密碼幫您變更

常見社交工程的各種攻擊方法 電話詐騙 電子郵件隱藏電腦病毒 網路釣魚 圖片中的惡意程式 偽裝修補程式 利用電話佯裝資訊人員，騙取帳號及通行碼。 偽裝委外廠商之維護人員或上級單位人員，乘機騙取帳號及通行碼。 電子郵件隱藏電腦病毒 網路釣魚 利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼，如網路釣魚。 圖片中的惡意程式 利用電子郵件誘騙使用者開啟檔案、圖片，以植入惡意程式、暗中收集機敏性資料。 偽裝修補程式 利用提供工具、檔案、圖片為幌子，誘騙使用者下載，如偽裝的修補程式 、 p2p 下載 軟體、工具軟體等，乘機植入惡意程式、暗中收集機敏性資料。 即時通(MSN/Skype/LINE/YAHOO/QQ) 利用即時通訊軟體如 MSN ，偽裝親友來訊，誘騙點選來訊中之連結後中毒。

電子郵件社交工程 利用寄發電子郵件，假冒親友或公司等相關寄件 者，誘騙收件者信任，進而開啟郵件內容進行非 法攻擊行為。 電子郵件社交工程攻擊手法 假冒寄件者 利用吸引人的主旨誘騙開啟郵件 帶有惡意的內容 惡意附件檔(木馬病毒) 惡意JavaScript 開啟惡意連結(釣魚網站) 誘騙登入帳號密碼(騙取資料) 通知重新認證(騙取資料)

社交工程與攻擊手法-電子郵件 透過電子郵件的社交工程 是王小英寄來的，打開看看無妨 在使用者電腦安裝木馬程式 成為殭屍電腦供駭客所用

社交工程與攻擊手法-電子郵件

社交工程與攻擊手法-電子郵件

社交工程與攻擊手法-電話/會面 透過電話與直接會面訪談的社交工程 您好! 這裡是計中，現在要幫您的電腦做維護 是嗎? 怎麼事先沒通知? 這是教育部臨時要我們做的，剛剛已經幫其他系做完，大家都覺得電腦變快了 好啊! 那就幫我做吧! 那麻煩您提供您電腦的帳號與密碼，方便我遠端登入 OK! 我的帳號是s1234，密碼是abcd

何謂網路釣魚 網路釣魚(Phishing)是利用偽造電子郵件與幾可 亂真的仿冒網站作為誘餌，愚弄使用者洩漏如銀 行帳戶密碼、信用卡號碼等個人機密資料的一種 駭客手法。

國內最嚴重的一次網路釣魚案例

社交工程實例 「帳號空間爆了」的詐騙電子郵件，要求輸入帳號密碼 。 學校webmail系統絕不會發信要求使用者寄回帳號密碼

社交工程實例 假借帳號更新等名義，要求收件人輸入個人帳號之密碼、 生日等資訊。 學校管理電子郵件絕不會發信要求師長寄回帳號密碼

社交工程實例 要求您寄回EMAIL ADDRESS,USERNAME,PASSWORD。 計中校務系統均有相關資料，不會以電子郵件詢問師長，也不會要求師長回覆任何個人資料。

簡單辨識釣魚信件的方式 1.該網站非HTTPS 2.用IP代替URL 故此網站非PayPal

網路釣魚(Phishing) 結合“Phone”和“Fishing” 姜太公釣魚，願者上鉤 駭客偽造電子郵件與網站作為”誘餌”，寄發電 子郵件要求使用者輸入帳號、密碼，來偷取使用 者的身分資料及金融帳號等機密資料。 電腦可能會被植入木馬程式，重要資訊遭竊

網路釣魚已經成為嚴重的社會問題

網路釣魚(Phishing)-案例 利用類似網址 騙取個人資料

假網頁的網址連接 http://www.landbank.com.tw http://www.1andbank.com.tw

假網頁的網址連接 http://www.china-airlines.com.tw http:// www.china-air1ines.com.tw www.safelink.com.tw

釣魚網站? 真的網站?

網路釣魚 – 案例 郵件內含釣魚網站 連結，誘騙點選

社交工程案例 – MSN 詐騙

MSN 詐騙實例1 有朋友離線狀態丟個網址給你， 要你衝人氣之類的就消失的嗎？ 有的話請注意！

MSN 詐騙實例2

MSN 詐騙實例3 正確網址：http://login.live.com

MSN 詐騙實例4 開始以好友身份登入後， 向MSN聯絡人進行詐騙， 遊說購買遊戲點數卡。 5,000 + 10,000 + 30,000 提供點數卡上的序號及 密碼後，就是有去無回了。

電子郵件社交工程常見引誘主旨 惡意網頁攻擊 (八卦主旨) 惡意圖檔攻擊 (情色主旨) 惡意word檔攻擊 (休閒娛樂主旨) 惡意網頁攻擊 (養生保健主旨) 惡意word檔攻擊 (公務人員相關主旨) 惡意網頁攻擊 (政治主旨)

惡意網頁攻擊(八卦主旨)

惡意圖檔攻擊(情色主旨)

惡意word檔攻擊(休閒娛樂主旨)

惡意網頁攻擊(養生保健主旨)

惡意word檔攻擊(公務人員相關主旨)

注意連結與附檔 小心木馬就在你身邊 Com Exe Scr Lnk Bat 木馬程式

注意連結與附檔 請您檢查電子郵件是否夾帶檔案？檔名尾碼是否為 異常名稱？如果有異常名稱，請勿直接開啟執行。 高危險檔案類型名稱 .exe .com .scr .pif .bat .cmd .doc .xls .pps .reg .lnk .hta 中危險檔案類型名稱 .zip .rar .swf 電子郵件的附件檔案

社交工程-電子郵件引誘累計次數說明 郵件預覽(閱覽)：累計一次 開啟郵件：累計一次 開啟郵件內網路/網頁連結：累計一次 郵件轉寄他人：累計 N 次

社交工程-電子郵件引誘圖解

社交工程-電子郵件引誘圖解 不錯的養生訊息，打開來看看! 好康道相報! 轉寄給大家! …

電子郵件社交工程手法之防範 注意可疑電子郵件之特徵 要求輸入並送出個人私密資料的郵件 內文含有「這是千真萬確的」或 「請將這封信轉寄給 您所有的朋友」 過於聳動的主旨或是緊急處置要求 不正常的發信時間 陌生人或少往來對象來信 認識的人來信但主旨或內容與其習性不服

如何避免落入「社交工程」的圈套 電子郵件自我保護 收到信件時須確認 不隨意開啟郵件 不隨意開啟或下載附件 不直接點選郵件中提供的網址 寄件人 主旨 寄件時間 若無法確認，先以電話與發信人連繫後再開啟

設定收信程式的安全性 入口網站Webmail Outlook 2007/2010 或 Outlook Express 關閉信件預覽及html連結功能 Outlook 2007/2010 或 Outlook Express 不自動下載圖檔 關閉信件預覽功能 以純文字開啟信件

關閉入口網站Webmail 信件預覽及html連結功能 進入Webmail點選”收件匣” 點選”Other” 下方的”Hide Preview”

關閉入口網站Webmail 信件預覽及html連結功能(續) 點選”我的郵件設定” 點選”檢視郵件 ” 取消勾選”  Block images in messages unless they are specifically requested?” 取消勾選” Automatically show images in messages when the sender is in my address book?”

Outlook 2007 不自動下載圖檔 開啟Outlook 2007 選取【工具】 選取【信任中心】 選擇【自動下載】 將【不自動下載HTML 電子郵件訊息或RSS項 目中的圖片】打勾

Outlook 2010 不自動下載圖檔 開啟Outlook 2010 點選【檔案】>【說明】>【選項】 點選【信任中心】>【信任中心設定】 選擇【自動下載】 將【不自動下載HTML電子郵件 訊息或RSS項目中的圖片】打勾

Outlook 2007 關閉信件預覽功能 開啟outlook 2007 選取【檢視】 選取【讀取窗格】 選擇【關】

Outlook 2010 關閉信件預覽功能 開啟outlook 2010 選取【檢視】 選取【讀取窗格】 選擇【關】

Outlook 2007 以純文字開啟信件 開啟outlook 2007 選取【工具】 選取【信任中心】 選擇【電子郵件安 全性】 選擇【電子郵件安 全性】 將【以純文字讀取 所有標準郵件】打勾

Outlook 2010 以純文字開啟信件 開啟Outlook 2010 點選【檔案】>【說明】>【選項】 點選【信任中心】>【信任中心設定】 選擇【電子郵件安全性】 勾選【以純文字讀取所有 標準郵件】

Outlook Express 不自動下載圖檔 選取【工具】 選取【選項】 選取【安全性】 將【阻擋HTML電子 郵件中的圖片和其他 外部內容】打勾

Outlook Express 關閉信件預覽 選取【檢視】 選取【版面配置】 【顯示預覽窗格】 不打勾

Outlook Express 以純文字開啟信件 選取【工具】 選取【選項】 選取【讀取】 將【在純文字中讀 取所有郵件】打勾

定期做Windows Update及病毒碼更新

結論 遵守資通安全規定 密碼安全性原則 隨時修補系統安全性漏洞 隨時更新病毒碼 保護使用資料安全 電子郵件及網路使用規定

結論(續) 社交工程雖然利用人性弱點來騙取機密資料，讓人覺得防不勝防，但如果能隨時提高警覺，遵守下列各項資訊安全防範原則，就能避免社交工程的攻擊傷害。 不未經確認即提供資料 不要開啟或回覆來歷不明電子郵件及附加檔案 不連結及登入未經確認的網站 不要下載或執行來歷不明軟體或檔案 不要洩露個人帳號密碼 不要用非信任電腦處理公務 不要隨意透露個人資料 不要忘記定期作資料備份

~ The End ~ 感謝各位的參與