1020807電子郵件暨駭客社交工程攻擊與防禦(第二場).
Download
Report
Transcript 1020807電子郵件暨駭客社交工程攻擊與防禦(第二場).
102年08月7日
1
請尊重及保護智慧財產權
大
綱
學校的資安政策
Facebook 免費社群網站
何謂社交工程
何謂網路釣魚
電子郵件詐騙案例分析及安全管理
www.hust.edu.tw
2
請尊重及保護智慧財產權
學校的資安政策
目的:
為使所屬資訊資產的機密性、完整性及可用性運作管理符合相關
法規,防範內、外部蓄意或意外威脅的影響。
範圍:
– 資訊安全管理涵蓋11項管理事項,避免因人為疏失、蓄意或天然
災害等因素,導致資料不當使用、洩漏、竄改、破壞等情事發生,
對本校帶來各種可能之風險及危害。
1.資訊安全政策訂定與評估
7.存取控制安全
2.資訊安全組織
8.系統開發與維護之安全
3.資訊資產分類與管制
9.資訊安全事件之反應及處理
4.人員安全管理與教育訓練
10.業務永續運作管理
5.實體與環境安全
11.法規與施行單位政策之符合性
6.通訊與作業安全管理
www.hust.edu.tw
3
請尊重及保護智慧財產權
學校的資安政策
學校的資訊安全組織:
資訊安全委員會
資訊安全
稽核小組
資訊安全工作小組
– 資訊安全委員會置「資訊安全長」一人,目前「資訊安全長」由
行政副校長擔任之。
www.hust.edu.tw
4
請尊重及保護智慧財產權
Facebook
你今天Facebook了嗎?
Facebook 我的朋友?
Facebook 我的個資?
Facebook 我的隱私?
www.hust.edu.tw
5
請尊重及保護智慧財產權
Facebook帳號10個安全祕技
安全祕技一:檢查帳號有無異常活動情形。
檢查「活動紀錄」如果你某個時間根本不在臉書上,卻冒出好多不是你做過的事
,那你就要小心,是不是有人登入過你的帳戶。
安全秘技二:發現問題時立即變更密碼。
檢查帳號有無異常活動紀錄時發現問題,請立即進入 Facebook 的「帳號設定」
功能,變更一個新的密碼。
安全秘技三:檢查帳號是否被異常裝置登入。
帳號設定帳號保安認可的裝置,列出使用那些裝置登入。
安全秘技四:檢查帳號是否有異常連線。
帳號設定帳號保安有效的連網,列出目前登入、或是曾經登入過你
Facebook 帳號的階段。
www.hust.edu.tw
6
請尊重及保護智慧財產權
Facebook帳號10個安全祕技
安全祕技五:使用安全加密連線(https)瀏覽
Facebook。
帳號設定帳號保安安全瀏覽,啟用加密安全瀏覽模式。
安全秘技六:當不明人士登入你的帳號,自動寄
送通知。
帳號設定帳號保安開啟「登入通知」,當有人從你不曾使用過的電腦或手機
登入你的帳號時,Facebook 就會以這些方式來通知你。
安全秘技七:開啟「兩步驟認證」,使帳號需輸
入安全密碼才能登入。
帳號設定帳號保安登入許可,開啟「要求 1 個安全密碼,讓我從未知的瀏覽
器進入我的帳號」。
www.hust.edu.tw
7
請尊重及保護智慧財產權
Facebook帳號10個安全祕技
安全祕技八:使用代碼產生器產生安全碼。
帳號設定帳號保安啟用「代碼產生器」。可使用智慧型手機來完成。
安全秘技九:使用「應用程式密碼」來取代登入
密碼。
帳號設定帳號保安應用程式密碼,如果沒有很必要,其實不一定要使用。「
應用程式密碼」就是為個別的應用程式來產生登入 Facebook 的密碼。
安全秘技十:設定至少 3 位信賴的聯絡人。
帳號設定帳號保安信賴的聯絡人,當你無法存取帳戶時(例如被入侵、密碼
被改、忘記密碼等等),可以透過你預先設定的信賴的聯絡人,讓信任的好
友協助你恢復 Facebook 帳號。
www.hust.edu.tw
8
請尊重及保護智慧財產權
Facebook打卡好不好?!
新聞:臉書打卡露餡
債主闖咖啡廳強押人。
被害人因為生日到咖啡廳打卡,從臉書上暴露自己的行蹤。
新聞:打完卡外出買早餐 車禍不算職災。
勞保局說,打卡後買早餐,不能算是公務,但如果在打卡前出意外,都能算是職
業災害。
新聞:循臉書打卡 警追回失蹤少女。
警方訪查少女好友,從少女友人臉書打卡紀錄找到離家少女。
打卡 = 告訴大家你人在那裡
www.hust.edu.tw
9
請尊重及保護智慧財產權
何謂社交工程
社交工程 (Social Engineering) 為利用人性
的弱點進行詐騙,是一種非”全面”技術性的
資訊安全攻擊方式,藉由人際關係的互動
進行犯罪行為。
駭客通常由電話、Email或是假扮身份,問
些看似無關緊要的問題等各種方法來進行
社交工程。
www.hust.edu.tw
10
請尊重及保護智慧財產權
利用人性的弱點
以人為本,騙術為主 利用人際關係的互動進行的詐騙。
技術門檻較低 使用的方法並不是依靠資訊技術。
貪心 撿便宜的心理。
好奇 想要一探究竟的心理。
缺乏警覺 應該沒關係吧?
www.hust.edu.tw
11
請尊重及保護智慧財產權
何謂網路釣魚
網路釣魚 (Phishing,唸法與 "fishing" 相同) 是一
種網路詐騙手段,詐欺犯利用這種手段誘使您洩
露個人資料。
網路釣魚最常見的目的就是騙取帳號及密碼。
www.hust.edu.tw
12
請尊重及保護智慧財產權
網路釣魚的方法
砍站程式。
首頁植入惡意程式。
將DNS名稱更改其中一個英文字母。
用數字1取代英文字母l。
或用數字0取代英文字母O。
xxx.com.tw或xxx.com。
發Email、廣告或簡訊。
Google搜尋排名。
向Google買關鍵字廣告。
偽站已存在很久。
www.hust.edu.tw
13
請尊重及保護智慧財產權
遠離網路釣魚犯罪陷阱與騙局
網路釣魚的防範訣竅:
不回應任何來自不明單位於電子信件中要求提供個人隱私安全相
關資訊,這些資訊包括使用者名稱、密碼、帳號。
不點選來路不明的電子郵件中所載之網頁連結。
不利用校園網路轉寄垃圾信函。
點選網頁連結前請一定要仔細辨認。
www.hust.edu.tw
14
請尊重及保護智慧財產權
網路釣魚新聞
新聞:臉書「露胸少女」?是駭客手法!
駭客再度發動網路釣魚,這次目標鎖定Facebook、Twitter,以及
Google+帳號密碼,全球資訊安全業者趨勢科技研究發現,近日在社
群平台廣為流傳的「15歲少女在Facebook上露胸後自殺」影片實為
暗藏惡意程式的有害影片,一旦點選影片,駭客將可以控制用戶個
人帳號進行個資竊取等不法行為,並擴大感染範圍。
運用聳動標題的連結進行網路釣魚已經是駭客必備技能之一。駭客
在社群平台上散布「15歲少女在Facebook上露胸後自殺」的影片連
結,點選該影片後將被要求下載特定程式方能觀賞影片,這個特定
程式其實是木馬程式TROJ_FEBUSER.AA,這隻木馬程式會依據受
害者使用的瀏覽器而偽裝成Chrome或是Mozilla Firefox的附加程式,
讓使用者放心下載。
取自2013.08.01聯合新聞網
www.hust.edu.tw
15
請尊重及保護智慧財產權
詐騙電子郵件案例分析
案例分析一:信箱容量超過,請登入你的帳號、密碼?
目前您的信箱若超過600MB,請通知資訊處!
www.hust.edu.tw
16
請尊重及保護智慧財產權
詐騙電子郵件案例分析
案例分析二:希望有善心人士幫忙處理一筆鉅款?(國際詐騙)
www.hust.edu.tw
17
請尊重及保護智慧財產權
對可疑電子郵件應有警覺性
為何我會收到這封郵件?
應確認寄件來源及寄件者
我是否應該收到這封郵件?
應確認郵件主旨及郵件內容
我是否應該開啟這封郵件?
是否與業務工作相關
不開啟(點選)連結是否有影響
審慎查證(寄件者或透過資訊處)
www.hust.edu.tw
18
請尊重及保護智慧財產權
電子郵件安全防制措施
電子郵件應「關閉預覽郵件」設定。
電子郵件應設定為「以純文字模式」開啟郵件。
不隨意開啟及轉寄與業務無關之電子郵件及網站。
不隨意點選或下載郵件內之連結與附件檔案。
如發現可疑信件應先與寄件者確認其真偽或通報資訊處查證。
不隨意開啟郵件(確認寄件人)。
不隨意開啟或下載附件。
善用密件收件人。
非必要不設定自動回覆。
不隨意留下郵件地址予他人。
注意陌生之寄件者。
www.hust.edu.tw
19
請尊重及保護智慧財產權
Outlook 2013-關閉預覽郵件
www.hust.edu.tw
20
請尊重及保護智慧財產權
Outlook 2013-以純文字讀取
www.hust.edu.tw
21
請尊重及保護智慧財產權
Outlook 2013-以純文字讀取
www.hust.edu.tw
22
請尊重及保護智慧財產權
Q&A
www.hust.edu.tw
23