电子邮件社交工程与防护

电子邮件社交工程与防护社交工程(SocialEngineering)以影響力或說服力來欺騙他人以獲得有用的資訊。利用人性弱點哄騙他人提供個人資料的伎倆。透過非技術性手段，獲得存取資訊或系統的機會。網路犯罪中最具滲透力的攻擊方式：惡意人士不需要具備頂尖的電腦專業技術。企業員工對於防範詐騙沒有足夠的認知，就可以輕易地避過了企業的強大軟硬體安全防護。對企業所造成的損害與威脅，不下於網路上的各種駭客攻擊。應用社交工程的各種攻擊方法除電話詐騙外，常見的社交工程攻擊還包括︰電子郵件隱藏電腦病毒網路釣魚偽裝知名企業或機關單位寄發電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料。圖片中的惡意程式利用使用者的好奇心來散佈惡意程式，以明星或色情圖片吸引使用者。偽裝修補程式偽裝成微軟的修補更新程式。即時通訊MSN、ICQ、YAHOO即時通、等。防範社交工程攻擊的方法隨時具備危機意識，惡意人士可能以任何角色或形式出現，沒有適當的認證情況下，不應輕信他人。認識常見社交工程的可疑徵兆強調是緊急事件提出不尋常的請求威脅如果不照辦會有嚴重的後果拒絕告知回電號碼遇到疑似社交工程攻擊事件時，請通報相關單位以避免其他人受騙。電子郵件社交工程透過假冒的郵件，利用收件人的好奇心或信任，進行欺騙而發動之入侵攻擊。透過電子郵件進行攻擊之常見手法假冒寄件者含有惡意程式的附件或連結利用與業務相關或令人感興趣的郵件內容利用應用程式之弱點(包括零時差攻擊)電子郵件社交工程案例假冒本校帳號要求回覆訊息至校外主機防範電子郵件社交工程電腦使用環境維護執行各種應用程式、系統之更新安裝防毒軟體，並更新病毒碼設定個人防火牆電子郵件軟體安全性設定取消電子郵件預覽功能使用純文字模式察看信件防止垃圾郵件設定垃圾郵件過濾機制信件伺服器及個人軟體設定使用電子郵件應有的警覺性觀念我為何會收到這封郵件？這是第一步，也是最容易的一步，強烈建議一定要徹底執行，也就是『誰寄信給我』、『寄件者是誰』。需要注意的是『寄件者名稱』、『寄件者郵件地址』是可以假造的。我是不是應該收到這封郵件？需要注意的是『郵件內容』，包含郵件主旨及信件內容。是不是跟我有關聯？內容是否合理？有沒有威脅利誘的字眼？有沒有詐騙的可能？我是不是有必要開啟附件或點選連結？真正危害的動作是開啟附件或點選連結讓電腦被植入惡意程式。社交工程總結一種利用人性弱點的詐騙技術它避開了嚴密的資通安全技術防護，是一種非常難以防範的攻擊模式只有具備高度的危機意識及警覺心，才能減少社交工程攻擊傷害。電子社交工程演練測試成功定義信件預覽偵測受測者於收到警覺性測試信件後，預覽信件圖片或內容。連結點選偵測受測者於收到警覺性測試信件後，開啟信件並點擊信件中之URL連結或附檔。教育部測試信件分類編號信件類別信件標題Letter1生活類讓你感動的動人廣告Letter2投機類如何提高中獎機率！！Letter3旅遊類【HiNet旅遊網首發團】獨家限量獨享好康超低價！！Letter4旅遊類2【HiNet旅遊網首發團】獨家限量獨享好康超低價！！Letter5健康類健康新撇步！！如何活的更健康Letter6電腦科技類七夕前後交友網站爆高量慎防網路桃色陷阱Letter7影視類文英阿姨病逝留給觀眾無限懷念Letter8影視類2昔日玉女紅星酒井法子自首坦承吸毒Letter9趣味類親愛的同事！放鬆一下Letter10購物類iPhone最新推出3Gs便宜到不敢相信！！信件內容(一)信件內容(二)本校演練結果及合格標準測試日期點閱率點擊率合格點閱率合格點擊率20090510.22%0.67%<16.0%<9.0%20090931.87%16.48%<16.0%<9.0%2010??<10.0%<6.0%演練結果分析不經意的點閱郵件讀信軟體自動點閱軟體設定為自動檢閱外部內容解決之道：關閉外部內容下載。不經意點選開啟信件檢閱內容檢視信件時外部內容未呈現，使用者點選『顯示內容』。解決之道：不點選『顯示內容』。教育部分析各單位演練結果電子社交工程演練意識明顯提升電子社交工程防護意識有待加強電子郵件軟體安全性設定(一)OutlookExpress：選擇[工具]->[選項]電子郵件軟體安全性設定(二)Outlook2007：選擇[工具][信任中心][自動下載]電子郵件軟體安全性設定(三)Outlook2003：選擇[工具][選項][安全性]點選[變更自動下載]電子郵件軟體安全性設定(四)LiveMail：選擇[工具]->[安全性選項]本校電子社交工程演練日期：99年1月～99年4月實施步