1 / 23

電子郵件社交工程及防護

電子郵件社交工程及防護. 資訊中心網路管理組 組長 蕭明清 2010/1. 社交工程 (Social Engineering). 以影響力或說服力來欺騙他人以獲得有用的資訊。 利用人性弱點哄騙他人提供個人資料的伎倆。 透過非技術性手段,獲得存取資訊或系統的機會。 網路犯罪中最具滲透力的攻擊方式: 惡意人士不需要具備頂尖的電腦專業技術。 企業員工對於防範詐騙沒有足夠的認知,就可以輕易地避過了企業的強大軟硬體安全防護。 對企業所造成的損害與威脅,不下於網路上的各種駭客攻擊。. 應用社交工程的各種攻擊方法. 除電話詐騙外,常見的社交工程攻擊還包括 ︰

adara-huffman
Download Presentation

電子郵件社交工程及防護

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 電子郵件社交工程及防護 資訊中心網路管理組 組長蕭明清 2010/1

  2. 社交工程(Social Engineering) • 以影響力或說服力來欺騙他人以獲得有用的資訊。 • 利用人性弱點哄騙他人提供個人資料的伎倆。 • 透過非技術性手段,獲得存取資訊或系統的機會。 • 網路犯罪中最具滲透力的攻擊方式: • 惡意人士不需要具備頂尖的電腦專業技術。 • 企業員工對於防範詐騙沒有足夠的認知,就可以輕易地避過了企業的強大軟硬體安全防護。 • 對企業所造成的損害與威脅,不下於網路上的各種駭客攻擊。

  3. 應用社交工程的各種攻擊方法 • 除電話詐騙外,常見的社交工程攻擊還包括︰ • 電子郵件隱藏電腦病毒 • 網路釣魚 • 偽裝知名企業或機關單位寄發電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料。 • 圖片中的惡意程式 • 利用使用者的好奇心來散佈惡意程式,以明星或色情圖片吸引使用者。 • 偽裝修補程式 • 偽裝成微軟的修補更新程式。 • 即時通訊 • MSN、ICQ、YAHOO即時通、QQ等。

  4. 防範社交工程攻擊的方法 • 隨時具備危機意識,惡意人士可能以任何角色或形式出現,沒有適當的認證情況下,不應輕信他人。 • 認識常見社交工程的可疑徵兆 • 強調是緊急事件 • 提出不尋常的請求 • 威脅如果不照辦會有嚴重的後果 • 拒絕告知回電號碼 • 遇到疑似社交工程攻擊事件時,請通報相關單位以避免其他人受騙。

  5. 電子郵件社交工程 • 透過假冒的郵件,利用收件人的好奇心或信任,進行欺騙而發動之入侵攻擊。 • 透過電子郵件進行攻擊之常見手法 • 假冒寄件者 • 含有惡意程式的附件或連結 • 利用與業務相關或令人感興趣的郵件內容 • 利用應用程式之弱點(包括零時差攻擊)

  6. 電子郵件社交工程案例 假冒本校帳號 要求回覆訊息至校外主機

  7. 防範電子郵件社交工程 • 電腦使用環境維護 • 執行各種應用程式、系統之更新 • 安裝防毒軟體,並更新病毒碼 • 設定個人防火牆 • 電子郵件軟體安全性設定 • 取消電子郵件預覽功能 • 使用純文字模式察看信件 • 防止垃圾郵件 • 設定垃圾郵件過濾機制 • 信件伺服器及個人軟體設定

  8. 使用電子郵件應有的警覺性觀念 • 我為何會收到這封郵件? • 這是第一步,也是最容易的一步,強烈建議一定要徹底執行,也就是『誰寄信給我』、『寄件者是誰』。 • 需要注意的是『寄件者名稱』、『寄件者郵件地址』是可以假造的。 • 我是不是應該收到這封郵件? • 需要注意的是『郵件內容』,包含郵件主旨及信件內容。 • 是不是跟我有關聯? • 內容是否合理? • 有沒有威脅利誘的字眼? • 有沒有詐騙的可能? • 我是不是有必要開啟附件或點選連結? • 真正危害的動作是開啟附件或點選連結讓電腦被植入惡意程式。

  9. 社交工程總結 • 一種利用人性弱點的詐騙技術 • 它避開了嚴密的資通安全技術防護,是一種非常難以防範的攻擊模式 • 只有具備高度的危機意識及警覺心,才能減少社交工程攻擊傷害。

  10. 電子社交工程演練

  11. 測試成功定義 • 信件預覽 • 偵測受測者於收到警覺性測試信件後,預覽信件圖片或內容。 • 連結點選 • 偵測受測者於收到警覺性測試信件後,開啟信件並點擊信件中之URL連結或附檔。

  12. 教育部測試信件分類

  13. 信件內容(一)

  14. 信件內容(二)

  15. 本校演練結果及合格標準

  16. 演練結果分析 • 不經意的點閱郵件 • 讀信軟體自動點閱 • 軟體設定為自動檢閱外部內容 • 解決之道:關閉外部內容下載。 • 不經意點選開啟信件檢閱內容 • 檢視信件時外部內容未呈現,使用者點選『顯示內容』。 • 解決之道:不點選『顯示內容』。 • 教育部分析各單位演練結果 • 電子社交工程演練意識明顯提升 • 電子社交工程防護意識有待加強

  17. 電子郵件軟體安全性設定(一) • Outlook Express:選擇[工具]->[選項]

  18. 電子郵件軟體安全性設定(二) • Outlook 2007:選擇[工具][信任中心][自動下載]

  19. 電子郵件軟體安全性設定(三) • Outlook 2003:選擇[工具][選項][安全性]點選[變更自動下載]

  20. 電子郵件軟體安全性設定(四) • Live Mail :選擇[工具]->[安全性選項]

  21. 如何限制外部內容下載(五) • 本校Webmail(標準版):點選[喜好設定]

  22. 本校電子社交工程演練 • 日期:99年1月~ 99年4月 • 實施步驟: • 教育訓練 • 實際演練 • 統計結果 • 未達目標重複以上步驟直至達成目標為止 • 參與99年度教育部電子社交工程演練,目標:點閱率<10%、點擊率<6%

  23. 總結 • 行政副校長指示: 全校所有人員必須 將電子郵件軟體設定為安全性設定

More Related