電子郵件社交工程及防護 資訊中心網路管理組 組長 蕭明清 2010/1
社交工程(Social Engineering) 以影響力或說服力來欺騙他人以獲得有用的資訊。 利用人性弱點哄騙他人提供個人資料的伎倆。 透過非技術性手段,獲得存取資訊或系統的機會。 網路犯罪中最具滲透力的攻擊方式: 惡意人士不需要具備頂尖的電腦專業技術。 企業員工對於防範詐騙沒有足夠的認知,就可以輕易地避過了企業的強大軟硬體安全防護。 對企業所造成的損害與威脅,不下於網路上的各種駭客攻擊。
應用社交工程的各種攻擊方法 除電話詐騙外,常見的社交工程攻擊還包括︰ 電子郵件隱藏電腦病毒 網路釣魚 圖片中的惡意程式 偽裝修補程式 偽裝知名企業或機關單位寄發電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料。 圖片中的惡意程式 利用使用者的好奇心來散佈惡意程式,以明星或色情圖片吸引使用者。 偽裝修補程式 偽裝成微軟的修補更新程式。 即時通訊 MSN、ICQ、YAHOO即時通、QQ等。
防範社交工程攻擊的方法 隨時具備危機意識,惡意人士可能以任何角色或形式出現,沒有適當的認證情況下,不應輕信他人。 認識常見社交工程的可疑徵兆 強調是緊急事件 提出不尋常的請求 威脅如果不照辦會有嚴重的後果 拒絕告知回電號碼 遇到疑似社交工程攻擊事件時,請通報相關單位以避免其他人受騙。
電子郵件社交工程 透過假冒的郵件,利用收件人的好奇心或信任,進行欺騙而發動之入侵攻擊。 透過電子郵件進行攻擊之常見手法 假冒寄件者 含有惡意程式的附件或連結 利用與業務相關或令人感興趣的郵件內容 利用應用程式之弱點(包括零時差攻擊)
電子郵件社交工程案例 假冒本校帳號 要求回覆訊息至校外主機
防範電子郵件社交工程 電腦使用環境維護 電子郵件軟體安全性設定 防止垃圾郵件 執行各種應用程式、系統之更新 安裝防毒軟體,並更新病毒碼 設定個人防火牆 電子郵件軟體安全性設定 取消電子郵件預覽功能 使用純文字模式察看信件 防止垃圾郵件 設定垃圾郵件過濾機制 信件伺服器及個人軟體設定
使用電子郵件應有的警覺性觀念 我為何會收到這封郵件? 我是不是應該收到這封郵件? 我是不是有必要開啟附件或點選連結? 這是第一步,也是最容易的一步,強烈建議一定要徹底執行,也就是『誰寄信給我』、『寄件者是誰』。 需要注意的是『寄件者名稱』、『寄件者郵件地址』是可以假造的。 我是不是應該收到這封郵件? 需要注意的是『郵件內容』,包含郵件主旨及信件內容。 是不是跟我有關聯? 內容是否合理? 有沒有威脅利誘的字眼? 有沒有詐騙的可能? 我是不是有必要開啟附件或點選連結? 真正危害的動作是開啟附件或點選連結讓電腦被植入惡意程式。
社交工程總結 一種利用人性弱點的詐騙技術 它避開了嚴密的資通安全技術防護,是一種非常難以防範的攻擊模式 只有具備高度的危機意識及警覺心,才能減少社交工程攻擊傷害。
電子社交工程演練
測試成功定義 信件預覽 連結點選 偵測受測者於收到警覺性測試信件後,預覽信件圖片或內容。 偵測受測者於收到警覺性測試信件後,開啟信件並點擊信件中之URL連結或附檔。
教育部測試信件分類 編號 信件類別 信件標題 Letter 1 生活類 讓你感動的動人廣告 Letter 2 投機類 如何提高中獎機率!! 旅遊類 【HiNet 旅遊網首發團】 獨家限量獨享好康 超低價!! Letter 4 旅遊類2 Letter 5 健康類 健康新撇步!!如何活的更健康 Letter 6 電腦科技類 七夕前後交友網站爆高量 慎防網路桃色陷阱 Letter 7 影視類 文英阿姨病逝 留給觀眾無限懷念 Letter 8 影視類2 昔日玉女紅星 酒井法子自首 坦承吸毒 Letter 9 趣味類 親愛的同事!放鬆一下 Letter 10 購物類 iPhone最新推出3Gs便宜到不敢相信!!
信件內容(一)
信件內容(二)
本校演練結果及合格標準 測試日期 點閱率 點擊率 合格點閱率 合格點擊率 200905 10.22% 0.67% < 16.0% < 9.0% 200909 31.87% 16.48% 2010?? < 10.0% < 6.0%
演練結果分析 不經意的點閱郵件 教育部分析各單位演練結果 讀信軟體自動點閱 不經意點選開啟信件檢閱內容 電子社交工程演練意識明顯提升 軟體設定為自動檢閱外部內容 解決之道:關閉外部內容下載。 不經意點選開啟信件檢閱內容 檢視信件時外部內容未呈現,使用者點選『顯示內容』。 解決之道:不點選『顯示內容』。 教育部分析各單位演練結果 電子社交工程演練意識明顯提升 電子社交工程防護意識有待加強
電子郵件軟體安全性設定(一) Outlook Express:選擇[工具]->[選項]
電子郵件軟體安全性設定(二) Outlook 2007:選擇[工具][信任中心][自動下載]
電子郵件軟體安全性設定(三) Outlook 2003:選擇[工具][選項][安全性]點選[變更自動下載]
電子郵件軟體安全性設定(四) Live Mail :選擇[工具]->[安全性選項]
如何限制外部內容下載(五) 本校Webmail(標準版):點選[喜好設定]
本校電子社交工程演練 日期:99年1月~ 99年4月 實施步驟: 教育訓練 實際演練 統計結果 未達目標重複以上步驟直至達成目標為止 參與99年度教育部電子社交工程演練,目標:點閱率<10%、點擊率<6%
總結 行政副校長指示: 全校所有人員必須 將電子郵件軟體設定為安全性設定