资讯安全案例探讨

1、資訊安全案例探討大同技術學院 電算中心 吳淇森1目錄案例一：微軟安全漏洞案例二：校園非法下載、散布攻擊言論案例三：網路郵局存百萬 一天內被盜光案例四：警察筆錄P2P外洩案例五：無名小站凸槌 網友私密照曝光案例六：期末考題網路考前大公開案例七：五花八門釣騙個人身分案例八：遠傳客戶資料外洩2目錄案例九：失竊案例十：兩岸聯手組成網路金融詐騙集團案例十一：軍情被駭案例十二：道聽途說案例十三：醫院文件資料外洩案例十四：任意轉寄或轉貼網路上的內容案例十五：美女當誘餌利用圖片下載盜竊密碼案例十六：惡作劇病毒3案例一：微軟安全漏洞試算表Excel又曝新缺陷攻擊是由電子郵件中的惡意Excel檔附件觸發的 電子郵

2、件用戶在打開附件時應當小心 微軟發佈12款補丁軟體 這些補丁軟體影響幾乎所有的用戶端應用軟體21個缺陷中的19個使駭客能夠遠端地控制用戶的電腦，可能會破壞或竊取用戶的資料4案例二：校園非法下載、 散布攻擊言論老師或替代役男，暗地會上網抓取非法軟體行徑囂張到微軟等知名廠商，每個月都要提醒縣教育局 利用BT軟體程式抓影音檔資料，易造成學校網路塞車有勞縣府資訊高手出馬，後來循線找到人老師利用網路討論區散布攻擊言論，激怒校長揚言要揪黑手控告誹謗 5案例三：網路郵局存百萬 一天內被盜光 有一位民眾存在郵局裡面將近一百萬元的存款，竟然在一天之內分三筆，在網路上被歹徒盜領一空 郵局強調自己的網路沒有駭客入侵

3、，因此懷疑是民眾被詐騙集團騙了，目前警方還在調查當中 6賴姓夫妻發現還有其他受害者，自力救濟，找律師打官司 歹徒犯案手法，通常會先以假網頁騙被害人點閱，再植入木馬程式，竊取帳號密碼 業者：若客戶沒盡保密責任，不賠付案例三：網路郵局存百萬 一天內被盜光 7案例四：警察筆錄P2P外洩 警察機關安裝P2P分享軟體Foxy，導致許多詳載個人資料的筆錄成為公共分享檔案，成為近期重要資安外洩事件 公部門資安政策的落實與管控，仍有很大努力的空間 一般人以關鍵字筆錄搜尋，就可以查詢到詳載許多個人資訊的報案筆錄，已經成為公共分享的檔案 8案例四：警察筆錄P2P外洩透過Foxy臺灣代理商與美國原廠協議，在未來限制

4、某些關鍵字的搜尋，例如筆錄、警察局等，降低資料外洩的疑慮但P2P軟體的特性在於，已經分享的檔案資料，如同潑出去的水，已經收不回來了 禁止各種不當軟體下載，以及禁止透過USB隨身碟將公文資料帶回家 9案例五：無名小站凸槌 網友私密照曝光 擁有近兩百五十萬名會員，全台最大的相簿部落格無名小站，14日凌晨出現安全性危機，所有原本上鎖的相簿都可自由點閱，網友相簿個人隱私全都露據了解，無名小站為避免類似問題發生，在會員註冊時，申請同意書中已載明您使用本服務之風險由您個人負擔，且不保證本服務將不受干擾、及時提供、安全可靠或不會出錯，會員隱私權益幾乎無法受到有效保障 10案例五：攔截求婚電郵 代前女友拒絕

5、一名男子偷窺前女友的電子郵件長達三年，看到情敵的電子求婚信後，居然假冒她名義寫信拒絕，進而挑撥感情 許女發現電子郵件遭冒用，立即停止使用 再度冒用許女名義加入擇偶配對網站會員，並轉寄給她的新男友 提出妨害電腦使用罪及偽造文書罪告訴 11案例六：期末考題網路考前大公開在老師不知情的情況下，同學透過校內網路芳鄰可進入老師的電腦，輕易下載期末考題為了互傳檔案，老師請同事協助同事將老師電腦上常用資料夾設成分享，且沒有設密碼，而事後也沒有將分享取消12案例七：五花八門釣騙個人身分 在反網路釣魚工作小組網站中，所公布的近期網路釣魚信件 SouthTrust重要安全事件！eBay更新你的帳戶Citizens

6、 Bank參加調查立刻獲得5美元回饋。13案例七：五花八門釣騙個人身分一位專科一年級學生，假冒某大網站客服中心發送電子郵件，誘騙網友回信確認身分 遊戲橘子公司去年也發現一個假冒網站，將網址取成gannania，模仿遊戲橘子gamania土地銀行官網 ？ ？14案例八：遠傳客戶資料外洩 保護顧客資料，攸關電信業者的形象！遠傳電信資訊科技事業部執行副總經理束宜鵬明確指出 從多個角度試圖強化 姓名、電話、地址、身分證字號、銀行帳號、信用卡卡號，任兩個組合就是有身分意義的重要資料，從內到外都注意這個環節 15案例八：遠傳客戶資料外洩強化客戶資料保護顧客帳單上的部份電話號碼遮沒 門市的補印帳單機也因此做

7、了修改 員工都要先申請，必須經過單位最高主管簽核，申請人還要簽立切結書 每一筆都會列管追蹤，如果員工未回報銷毀情況，他們就會直接報告給單位主管從外部來釣魚會虛設一些門號與資料，然後向資料販賣集團購買這些門號 雇用白駭客，測試系統是否容易被攻破16案例九：失竊2005年2月：美國銀行25日表示，記錄120萬名美國政府員工的電腦磁帶失竊，其中包含數名聯邦參議員以及國防部員工的個人資料 美國海岸防衛隊和運輸安全局的電腦工作站被駭客安置了與外界通訊的惡意軟體；筆記本電腦失蹤，機構的網站被駭客攻破 17案例十：兩岸聯手組成網路金融詐騙集團 藉社交工程、假網頁等多重手法，收集拼湊民眾個人資料，再上網盜刷購

8、物或冒名信貸、預借現金 社交工程是利用非直接面對面接觸，如打電話套取他人所有或所保管的隱性資訊本案嫌犯即以握有的基本資料致電銀行等，冒名向客服人員詢問、申訴或謊稱遺失存摺，套問帳號等資料，逐漸充實冒名對象的個人資料，再用以犯案 18案例十一：軍情被駭 軍官未遵守資訊安全管制規定，將公務用隨身碟與筆記型電腦帶回家使用，發生被不明人士植入木馬程式，違反資訊安全管制，已有洩密之虞洩密案是軍方內部的網路資訊監控系統主動發現，兩位涉案軍官的資訊設備與軍方內部網路連結時，由監控系統發現其中有木馬程式，並且主動提出通報 19案例十二：道聽途說大學生網站批醫院沒醫德吃上官司 一名國立大學的大三周姓學生聽朋友轉

9、述後，在台大網站上，將整個急救送醫和醫院的態度都予以曲解，同時指責醫院枉顧人命、沒有醫德，網站文章中還呼籲網友不要到這家醫院南門醫院在獲悉後大為光火，向警方提出誹謗告訴 ，被醫院提出告訴新竹市警方接獲報案後，根據網址查出這名周姓學生，由於行為已觸犯誹謗刑責，被警方依誹謗罪嫌函送地檢署偵辦 20案例十三：醫院文件資料外洩醫院為落實環保及節省開支將列印過單面的報表紙重複使用但醫院並未注意部份報表上有重要資料有病患家屬提出抗議在一樓服務台量完血壓後，服務人員給的手寫記錄單背面有其他患者的個人隱私資料相關外洩資料如果經有心人士收集運用，醫院必須負起責任21案例十四：任意轉寄或轉貼網路上 的文章或照片

10、趙誠美目前就讀於某科技大學四年級，她平常很喜歡看網路上流傳的文章或照片，也常常利用電子郵件，將她覺得有趣的或重要的文章或照片，轉寄給親朋好友，或將上述文章或照片，轉貼在BBS站上，以便與更多的人分享網際網路上經常出現的文章或照片，除了極少數的例外，絕大多數都是受到著作權法保護的語文著作或攝影著作 未具名或以別名表示著作人的著作，仍受著作權法保障 22案例十五：美女當誘餌利用圖片下載 盜竊密碼 Email的郵件主旨出現各國空姐、台灣山中裸女 駭客以色情圖片為誘餌，並挾帶著木馬程式，當網友不慎點選下載時，駭客就植入後門程式，並大方的入侵，所竊取的入口網站以及遊戲帳號密碼，再依遊戲、網拍等功能分類轉手販售大陸詐欺集團，牟取不法利益 23案例十六：惡作劇病毒你可曾收到內容如下的電子郵件：主旨：FW：6/1會發作病毒喔！趕快掃一掃內容：尋找C槽中是否有 “SULFNBK.EXE”這個執行檔， 這是一個病毒，六月一日會發作，把你的硬碟資料 全砍掉。由於此病毒六月一日才會發作成病毒，防 毒程式平常無法偵測到它。如果你找到這個檔案， 趕快刪掉它，並把它從資源回收桶中移除利用網友擔心朋友中毒來散佈，電子郵件並沒有真正的病毒碼夾帶，只是引誘收件人將Sulfnbk.exe檔案刪掉，導致電腦無法讀長檔名24資訊科技為人類帶來便利的生活，我們