Download presentation
Presentation is loading. Please wait.
1
資訊安全案例探討 大同技術學院 電算中心 吳淇森
2
目錄 案例一:微軟安全漏洞 案例二:校園非法下載、散布攻擊言論 案例三:網路郵局存百萬 一天內被盜光 案例四:警察筆錄P2P外洩
案例五:無名小站凸槌 網友私密照曝光 案例六:期末考題網路考前大公開 案例七:五花八門「釣」騙個人身分 案例八:遠傳客戶資料外洩
3
目錄 案例九:失竊 案例十:兩岸聯手組成網路金融詐騙集團 案例十一:軍情被駭 案例十二:道聽途說 案例十三:醫院文件資料外洩
案例十四:任意轉寄或轉貼網路上的內容 案例十五:美女當誘餌利用圖片下載盜竊密碼 案例十六:惡作劇病毒
4
案例一:微軟安全漏洞 試算表Excel又曝新缺陷 攻擊是由電子郵件中的惡意Excel檔附件觸發的 電子郵件用戶在打開附件時應當小心
微軟發佈12款補丁軟體 這些補丁軟體影響幾乎所有的用戶端應用軟體 21個缺陷中的19個使駭客能夠遠端地控制用戶的電腦,可能會破壞或竊取用戶的資料
5
案例二:校園非法下載、 散布攻擊言論 老師或替代役男,暗地會上網抓取非法軟體 行徑囂張到微軟等知名廠商,每個月都要「提醒」縣教育局
案例二:校園非法下載、 散布攻擊言論 老師或替代役男,暗地會上網抓取非法軟體 行徑囂張到微軟等知名廠商,每個月都要「提醒」縣教育局 利用BT軟體程式抓影音檔資料,易造成學校網路「塞車」 有勞縣府資訊高手出馬,後來循線找到人 老師利用網路討論區散布攻擊言論,激怒校長揚言要揪黑手控告誹謗
6
案例三:網路郵局存百萬 一天內被盜光 有一位民眾存在郵局裡面將近一百萬元的存款,竟然在一天之內分三筆,在網路上被歹徒盜領一空
案例三:網路郵局存百萬 一天內被盜光 有一位民眾存在郵局裡面將近一百萬元的存款,竟然在一天之內分三筆,在網路上被歹徒盜領一空 郵局強調自己的網路沒有駭客入侵,因此懷疑是民眾被詐騙集團騙了,目前警方還在調查當中
7
案例三:網路郵局存百萬 一天內被盜光 賴姓夫妻發現還有其他受害者,自力救濟,找律師打官司 歹徒犯案手法,通常會先以假網頁騙被害人點閱,再植入木馬程式,竊取帳號密碼 業者:若客戶沒盡保密責任,不賠付
8
案例四:警察筆錄P2P外洩 警察機關安裝P2P分享軟體Foxy,導致許多詳載個人資料的筆錄成為公共分享檔案,成為近期重要資安外洩事件
公部門資安政策的落實與管控,仍有很大努力的空間 一般人以關鍵字「筆錄」搜尋,就可以查詢到詳載許多個人資訊的報案筆錄,已經成為公共分享的檔案
9
案例四:警察筆錄P2P外洩 透過Foxy臺灣代理商與美國原廠協議,在未來限制某些關鍵字的搜尋,例如筆錄、警察局等,降低資料外洩的疑慮
禁止各種不當軟體下載,以及禁止透過USB隨身碟將公文資料帶回家
10
案例五:無名小站凸槌 網友私密照曝光 擁有近兩百五十萬名會員,全台最大的相簿部落格「無名小站」,14日凌晨出現安全性危機,所有原本上鎖的相簿都可自由點閱,網友相簿個人隱私全都露 據了解,無名小站為避免類似問題發生,在會員註冊時,「申請同意書」中已載明「您使用本服務之風險由您個人負擔」,且「不保證本服務將不受干擾、及時提供、安全可靠或不會出錯」,會員隱私權益幾乎無法受到有效保障
11
案例五:攔截求婚電郵 代前女友拒絕 一名男子偷窺前女友的電子郵件長達三年,看到情敵的電子求婚信後,居然假冒她名義寫信拒絕,進而挑撥感情
許女發現電子郵件遭冒用,立即停止使用 再度冒用許女名義加入擇偶配對網站會員,並轉寄給她的新男友 提出妨害電腦使用罪及偽造文書罪告訴
12
案例六:期末考題網路考前大公開 在老師不知情的情況下,同學透過校內網路芳鄰可進入老師的電腦,輕易下載期末考題 為了互傳檔案,老師請同事協助
同事將老師電腦上常用資料夾設成分享,且沒有設密碼,而事後也沒有將分享取消
13
案例七:五花八門「釣」騙個人身分 在反網路釣魚工作小組網站中,所公布的近期網路釣魚信件 「SouthTrust——重要安全事件!!!」
「eBay——更新你的帳戶」 「Citizens Bank——參加調查立刻獲得5美元回饋。」
14
案例七:五花八門「釣」騙個人身分 一位專科一年級學生,假冒某大網站客服中心發送電子郵件,誘騙網友回信確認身分
遊戲橘子公司去年也發現一個假冒網站,將網址取成「gannania」,模仿遊戲橘子「gamania」 土地銀行官網 ? ?
15
案例八:遠傳客戶資料外洩 「保護顧客資料,攸關電信業者的形象!」遠傳電信資訊科技事業部執行副總經理束宜鵬明確指出 從多個角度試圖強化
「姓名、電話、地址、身分證字號、銀行帳號、信用卡卡號,任兩個組合就是有身分意義的重要資料,」從內到外都注意這個環節
16
案例八:遠傳客戶資料外洩 強化客戶資料保護 從外部來『釣魚』 雇用白駭客,測試系統是否容易被攻破 顧客帳單上的部份電話號碼遮沒
門市的補印帳單機也因此做了修改 員工都要先申請,必須經過單位最高主管簽核,申請人還要簽立切結書 每一筆都會列管追蹤,如果員工未回報銷毀情況,他們就會直接報告給單位主管 從外部來『釣魚』 會虛設一些門號與資料,然後向資料販賣集團購買這些門號 雇用白駭客,測試系統是否容易被攻破
17
案例九:失竊 2005年2月:美國銀行25日表示,記錄120萬名美國政府員工的電腦磁帶失竊,其中包含數名聯邦參議員以及國防部員工的個人資料
美國海岸防衛隊和運輸安全局的電腦工作站被駭客安置了與外界通訊的惡意軟體;筆記本電腦失蹤,機構的網站被駭客攻破
18
案例十:兩岸聯手組成網路金融詐騙集團 藉「社交工程」、假網頁等多重手法,收集拼湊民眾個人資料,再上網盜刷購物或冒名信貸、預借現金
「社交工程」是利用非直接面對面接觸,如打電話套取他人所有或所保管的隱性資訊 本案嫌犯即以握有的基本資料致電銀行等,冒名向客服人員詢問、申訴或謊稱遺失存摺,套問帳號等資料,逐漸充實冒名對象的個人資料,再用以犯案
19
案例十一:軍情被駭 軍官未遵守資訊安全管制規定,將公務用隨身碟與筆記型電腦帶回家使用,發生被不明人士植入木馬程式,違反資訊安全管制,已有洩密之虞 洩密案是軍方內部的網路資訊監控系統主動發現,兩位涉案軍官的資訊設備與軍方內部網路連結時,由監控系統發現其中有木馬程式,並且主動提出通報
20
案例十二:道聽途說 大學生網站批醫院沒醫德吃上官司
一名國立大學的大三周姓學生聽朋友轉述後,在台大BBS網站上,將整個急救送醫和醫院的態度都予以曲解,同時指責醫院枉顧人命、沒有醫德,網站文章中還呼籲網友不要到這家醫院 南門醫院在獲悉後大為光火,向警方提出誹謗告訴 ,被醫院提出告訴 新竹市警方接獲報案後,根據網址查出這名周姓學生,由於行為已觸犯誹謗刑責,被警方依誹謗罪嫌函送地檢署偵辦
21
案例十三:醫院文件資料外洩 醫院為落實環保及節省開支將列印過單面的報表紙重複使用 但醫院並未注意部份報表上有重要資料
有病患家屬提出抗議在一樓服務台量完血壓後,服務人員給的手寫記錄單背面有其他患者的個人隱私資料 相關外洩資料如果經有心人士收集運用,醫院必須負起責任
22
案例十四:任意轉寄或轉貼網路上 的文章或照片
案例十四:任意轉寄或轉貼網路上 的文章或照片 趙誠美目前就讀於某科技大學四年級,她平常很喜歡看網路上流傳的文章或照片,也常常利用電子郵件,將她覺得有趣的或重要的文章或照片,轉寄給親朋好友,或將上述文章或照片,轉貼在BBS站上,以便與更多的人分享 網際網路上經常出現的文章或照片,除了極少數的例外,絕大多數都是受到著作權法保護的「語文著作」或「攝影著作」 未具名或以別名表示著作人的著作,仍受著作權法保障
23
案例十五:美女當誘餌利用圖片下載 盜竊密碼
案例十五:美女當誘餌利用圖片下載 盜竊密碼 的郵件主旨出現「各國空姐」、「台灣山中裸女」 駭客以色情圖片為誘餌,並挾帶著木馬程式,當網友不慎點選下載時,駭客就植入後門程式,並大方的入侵,所竊取的入口網站以及遊戲帳號密碼,再依遊戲、網拍等功能分類轉手販售大陸詐欺集團,牟取不法利益
24
案例十六:惡作劇病毒 你可曾收到內容如下的電子郵件:
主旨:FW:6/1會發作病毒喔!趕快掃一掃 內容:尋找C槽中是否有 “SULFNBK.EXE”這個執行檔, 這是一個病毒,六月一日會發作,把你的硬碟資料 全砍掉。由於此病毒六月一日才會發作成病毒,防 毒程式平常無法偵測到它。如果你找到這個檔案, 趕快刪掉它,並把它從資源回收桶中移除 利用網友擔心朋友中毒來散佈,電子郵件並沒有真正的病毒碼夾帶,只是引誘收件人將Sulfnbk.exe檔案刪掉,導致電腦無法讀長檔名
25
資訊科技為人類帶來便利的生活,我們在享受這些科技帶來的便利之餘,卻常常忽略了這些科技背後所潛在的安全問題
網路對於生活影響程度與日俱增,駭客利用網路從事電腦犯罪也屢見不鮮 要如何保護在網路中傳遞及儲存於電腦系統之機密資料,免於遭受未經授權人員之竊取、篡改、偽造,則是資訊時代當務之急
26
參考資料 行政院 國家資通安全會報資安論壇http://forum.icst.org.tw/phpBB2/index.php 天下雜誌
聯合報 從戰爭的觀點論資訊安全 全華圖書出版
Similar presentations