如何防範電子郵件社交工程 資訊系統處 2010.3

大 綱 電子郵件社交工程手法剖析 電子郵件社交工程防範策略 收信程式安全性設定 三不三要原則 信件判斷 結語 附錄:FAQ 大 綱 電子郵件社交工程手法剖析 電子郵件社交工程防範策略 收信程式安全性設定 Outlook express、Outlook 2002, 2003, 2007 三不三要原則 信件判斷 結語 附錄:FAQ

電子郵件社交工程手法剖析 利用人性的弱點，如好奇、恐懼、貪心、情色、信任、不在意等，設計各式各樣的詐騙信件 常見的手法 假冒寄件者 透過HTML或腳本(script)語法遂行其目的(如連回特定網站探測此信箱是否有效等) 誘使點選信件中內含之釣魚網站、掛馬網頁或惡意程式的連結等 夾帶含有惡意程式之附檔 利用應用程式之弱點(包括零時差攻擊)

電子郵件社交工程防範策略 技術性策略(收信程式安全性設定) 好習慣策略(遵守三不三要原則) 不主動下載遠端圖檔(避免信件開啟時連線至遠端) 禁止script執行 好習慣策略(遵守三不三要原則) 不開啟陌生人信件(設定郵件規則) 不開啟非公務信件 不輕易開啟附檔 開啟附檔前要先確認 點選連結前要先檢查 通行碼要定期更換

outlook express安全性設定1/5 以outlook express為例，在Win XP SP2以後即內定不開啟遠端連結之圖片及不執行腳本 「工具／選項／安全性」

outlook express安全性設定2/5

outlook express安全性設定3/5 另一種直接設定成純文字讀取，「工具／選項／讀取」

outlook express安全性設定4/5 信件內容只以文字方式呈現

outlook express安全性設定5/5 不論何種設定，一轉寄就破功了 未經查證之訊息，不要轉寄

Outlook 安全性設定1/6 以Outlook 2003為例，「工具／安全性」

Outlook 安全性設定2/6 Outlook 2003設定成純文字讀取，「工具／選項」

Outlook 安全性設定3/6 Outlook 2002，要設定成純文字收信，只能修改註冊機碼(register) 在「開始／執行」中，鍵入regedit 找出HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail並開啟 按「編輯／新增／DWord值」，鍵入 ReadAsPlain 按兩下「ReadAsPlain」開啟，「數值資料」輸入 1 ，再按「確定」結束修改

Outlook 安全性設定4/6 以Outlook 2007為例，「工具／信任中心／自動下載」

Outlook 安全性設定5/5 以Outlook 2007為例設定純文字收信，「工具／信任中心／電子郵件安全性」

Outlook 安全性設定6/6 跟outlook express一樣，一轉寄就破功了 未經查證之訊息，不要轉寄

收信程式郵件規則設定1/3 利用郵件規則過濾郵件 規則:寄件者為通訊錄名單中，將信件移至公務匣，以方便初步區分陌生人與熟識 以outlook express為例(outlook的設定方法類似，且透過規則精靈更容易設定)，按「工具／郵件規則／郵件」

收信程式郵件規則設定2/3 按寄件者加入 規則地址 選擇所有人員 點選 按新資料夾 寄件者為通訊錄中的名單， 後輸入”公務” 勾選 按寄件者加入 規則地址 按新資料夾 後輸入”公務” 新增資料夾 寄件者為通訊錄中的名單， 自動移至公務資料匣 勾選 不在通訊錄中的寄件者， 若非預期的信可考慮直接 刪除 選擇所有人員 按通訊錄選擇名單 立即套用新建的「公務」郵件規則 點選 點選 輸入名稱

收信程式郵件規則設定3/3 設定郵件規則注意事項 規則若1個以上，要注意先後順序，排在上方的規則若條件符合就不會再往下套用 新建的規則應經過測試，看是否符合原來欲達到的目標？ 規則建置初期，可能有熟識寄件者尚未加至通訊錄而造成信未被移至特定資料匣，將新的寄件者加入通訊錄，下次就正常 即便是透過規則區分出的熟識者信件仍有可能是假冒者(曾遇過同學的yahoo帳號被盜，駭客利用帳號內的通訊錄寄出內含惡意程式的信)，點選連結或開啟附檔仍需留意

三不原則 不開啟陌生人信件 不開啟非公務信件 不輕易開啟附檔 利用郵件規則協助區分陌生與熟識者信件 非公務信件常夾雜許多垃圾郵件及社交工程郵件，建議直接刪除 不輕易開啟附檔 除非是預期中的附檔，否則不開啟

三要原則 開啟附檔前要先確認 點選連結前要先檢查 通行碼要定期更換 開啟附檔 (非預期中附檔)前另以電話確認 點選連結前先判斷必要性?合理性?網址是否正確?內部網站或外部網站?必要時電話確認! 通行碼要定期更換 定期(每3個月)更換通行碼，通行碼修改網址 http://email.taipower.com.tw/passwd.htm 通行碼強度可透過以下網址檢測 https://www.microsoft.com/protect/fraud/passwords/checker.aspx

寄件者檢查 打開信件之前如果有對寄件者有疑慮？可以先查看寄件者電子郵件地址

寄件者檢查 打開信件之前如果有對寄件者有疑慮？可以先查看寄件者電子郵件地址 以99.2.22駭客的社交工程電子郵件為例(緊急通知：您的TaiPower賬戶即將被封鎖!)，雖寄件者為mail server，但從剛剛的檢查可得知寄件者是mail-server@in.com，並非由taipower.com.tw帳號寄出 至於寄件者詳細資料之判斷可請單位資訊人員協助檢查

連結正確性檢查 先判斷是否有必要點選連結？為何要點？可能被駭？ 點選前先檢查連結是否正確？

連結合理性檢查 正確性檢查後再檢查連結是否合理？

結 語 透過收信程式安全性設定協助降低社交工程風險 收信應注意 轉信或寄信應注意 檢查寄件者的真偽 確認信件內容的真實度 結 語 透過收信程式安全性設定協助降低社交工程風險 收信應注意 檢查寄件者的真偽 確認信件內容的真實度 不輕易開啟郵件中的超連結以及附件 開啟超連結或檔案前，確認對應軟體（如IE、Office、壓縮軟體、adobe等）都保持在已修補最新漏洞的狀態 轉信或寄信應注意 未經查證之訊息，不要轉寄 轉寄郵件前先將他人郵件地址刪除，避免別人郵件地址傳出 寄送信件給群體收件者時，應將收件者列在密件副件，以免收件人資訊外洩

附錄:FAQ Q:什麼是掛馬網站(頁)? A:即網頁或網站上暗藏木馬等惡意程式的網頁，當被害人瀏覽至該網頁時，透過瀏覽器漏洞植入惡意程式至被害人電腦。 Q:社交工程電子郵件為什麼防火牆或防毒軟體無法阻擋下來？資訊處是否該更換設備或軟體? A:如果電子郵件中含有惡意程式的附檔當然有極大的可能會被防毒軟體偵測到而移除，但目前多數的社交工程電子郵件內容多為HTML或一般文字格式，並未含有惡意程式特徵，但內含的連結會引導至有問題的網頁或下載檔案，非常難防。因此目前市面上並無單一產品可針對社交工程電子郵件進行防範，在此情況下只能透過如垃圾郵件過濾來預防，但效果有限。目前最有效的仍是加強演練提高同仁警戒心。 Q:照投影片上的作法進行收信程式安全性設定是否就可以完全杜絕演練及駭客的社交工程？ A:安全性設定可以讓你在開啟信件時不會回傳資料至遠端，因此對駭客及演練都有效；但如果仍去點選下載遠端圖檔、內含的連結或開啟附檔那還是會中招。畢竟你意志這麼堅決，誰也阻止不了你。