1 / 20

你知道我在「 等 」你嗎? 社交工程

你知道我在「 等 」你嗎? 社交工程. 宜蘭縣教育資訊網路中心 網路組. 社交工程手法 事件回憶錄 案例分析 防範方式. 社交工程. 社交工程 (Social Engineering) 利用人性弱點或利用人際間的信任關係 獲取帳號、密碼、身份證號碼或其它機敏資料 成功原因 使用者難以防範 技術門檻不高 使用者會協助攻擊. 詐騙集團. 教育部社交工程演練 目的 針對教育部所屬機關學校進行使用電子郵件警覺性測試 政府推動服務資訊化 , 公教人員接觸機密資訊設備機率高 教育人員比較有愛心與正義感 演練時間 第一次惡意郵件演練:每年 5 月份

ulmer
Download Presentation

你知道我在「 等 」你嗎? 社交工程

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 你知道我在「等」你嗎? 社交工程 宜蘭縣教育資訊網路中心 網路組

  2. 社交工程手法 事件回憶錄 案例分析 防範方式

  3. 社交工程 社交工程(Social Engineering) 利用人性弱點或利用人際間的信任關係 獲取帳號、密碼、身份證號碼或其它機敏資料 成功原因 使用者難以防範 技術門檻不高 使用者會協助攻擊 詐騙集團

  4. 教育部社交工程演練 目的 針對教育部所屬機關學校進行使用電子郵件警覺性測試 政府推動服務資訊化, 公教人員接觸機密資訊設備機率高 教育人員比較有愛心與正義感 演練時間 第一次惡意郵件演練:每年 5月份 第二次惡意郵件演練:每年 9月份 郵件主題 政治、公務、健康養生、旅遊 附檔包含:連結網址、word

  5. 演練郵件列表

  6. 社交工程手法 電話 手法 中獎&退費詐欺 行動電話簡訊詐欺 勒索恐嚇 要求更改網站密碼 要求更改e-mail 信箱密碼 防治方式 確認對方身份 依正常程序進行

  7. 社交工程手法 電子郵件 手法 病毒、蠕蟲與惡意程式等隱藏在電子郵件 Word、Excel、Powerpoint、PDF、WinRAR 偽造的主管機關公文 藍綠立委選舉登記 公文09-881234567號 郵件掛馬 防治方式 不任意開啟附檔 設定電子郵件軟體

  8. 社交工程手法 圖片中的惡意程式 手法 明星或色情圖片 通常利用聳動、趣味等標題文字吸引使用者點選 木馬程式、間諜軟體和其他病毒程式 防治方式 確認寄件人 不開啟附件執行檔 防毒軟體 宅男的最愛

  9. 社交工程手法 即時通 手法 偽裝成好友MSN、 Skype、YAHOO即時通等 利用MSN自動傳檔 利用MSN自動傳網路連結 防治方式 不任意點選網址 先詢問傳輸的資料為何

  10. 網路釣魚(Phishing:Phone+fishing) 手法 偽裝知名企業或機關單位寄發的電子郵件 重新驗證密碼或登入某網址輸入個人資料 利用偽造的網頁作為誘餌 釣魚網頁畫面與官方網站相同 以相似的字元來偽裝網址 例如:以數字的1來替換英文的l 防治方式 社交工程手法 聽 停 看

  11. 事件回憶錄 小心駭客三寸不爛之舌 在今年的駭客大會(DefCon)中,以社交工程為主題的駭客競賽,結果發現美國10家大型科技、石油和零售企業被隨機選中的員工,竟毫無警覺地在電話中洩露公司的敏感資訊。 其中1名員工在駭客哄騙下,打開公司電腦中的程式,並讀出所使用的軟體規格,而這些細節足以使駭客據以製作出病毒,來啟動系統。 安全研究人員表示,駭客通常必須突破目標系統的防火牆和週邊,才能進入內部組織,「如今使用社會工程技巧來實現相同突破,容易多了」。 新聞來源: 法新社2010.8.01

  12. 事件回憶錄 頻受網釣攻擊 Facebook出招 Facebook表示,上週連續受到兩個不同網釣攻擊,並讓駭客在Facebook裡散佈偽造的網站連結,並趁機竊取使用者的帳號密碼。 反詐欺暨品牌保護業者MarkMonitor,迄今Facebook已提交逾1400個釣魚網站資訊,其中有240個是今年才發現的。這代表平均每個月會出現60個偽裝成Facebook的釣魚網站。 Facebook表示,MarkMonitor結盟,由MarkMonitor提供反詐欺解決方案以協助Facebook偵測及避免網路釣魚與惡意程式的攻擊 新聞來源: ITHOME 2009.05.04

  13. 事件回憶錄 美國FBI遭到社交工程攻擊 FBI探員在5月初,打開主旨為「H1N1」的電子郵件 該社交工程手法成功的入侵並攻擊內部網路,並且在感染至少一週後才被發現。 該局為求安全起見,不得不關閉電腦網路系統 影響該局工作長達兩週,甚至妨礙到一項襲擊猶太教堂和猶太裔活動中心的恐怖行動。 新聞來源:資安人2009.06.22

  14. 事件回憶錄 Android手機威脅再傳  惡意程式設假YouTube陷阱 第一隻瞄準Android行動裝置的木馬程式現身 受感染的手機會自動傳送簡訊至收費高的號碼,讓受害者蒙受高手機費用的損失 網路威脅類型呈現多樣性風貌,Facebook、YouTube的使用者都在受害者之列 「KOOBFACE惡意程式」設下了假的YouTube網站陷阱,假藉需要安裝影片播放程式為由,誘騙毫無戒心的使用者安裝惡意程式。 新聞來源: NowNews 2010.09.27

  15. 事件回憶錄 颱風假放一年!? 凡那比颱風襲台 十四歲吳姓國三學生 行政院人事行政局假網頁 「宣佈」各縣巿「今日起停班停課一年」

  16. 事件回憶錄 中國駭客入侵Google 新聞來源: 資安人2010.07

  17. 案例分析 寄送電子郵件、建立網站 開啟惡意檔案、 連上惡意網站 取得帳號、密碼 或控制使用者端

  18. 防範方式 釣魚網站偵測方式 瀏覽器預設功能 Chrome:設定、進階選項、釣魚.... Firefox:偏好設定、安全、封鎖.... IE:安全性、smartscreen 外掛程式 NoScript WOT Mcafee SiteAdvisor 檢測網站 http://www.urlvoid.com/

  19. 防範方式 釣魚網站回報窗口 台灣學術網路危機處理中心 網路釣魚通報單一窗口 http://www.apnow.tw/ Norton https://submit.symantec.com/antifraud/phish.cgi Google http://www.google.com/safebrowsing/report_phish/

  20. 防範方式 改善個人習慣 不將私人用Email留在任何公開的網頁上 不開啟來歷不明之信件 不轉寄非必要之信件 不回應任何未知的信件 經常或定期登入你的網路帳號 定期確認你的銀行帳戶、信用卡的交易狀態都正確無異常 確認你的瀏覽器、收信軟體、文書軟體及其他程式是最新 版本,而且都已更新修補程式

More Related