Transcript 如何防範電子郵件社交工程 資訊系統處 2010.3 大 綱 電子郵件社交工程手法剖析 電子郵件社交工程防範策略 收信程式安全性設定 Outlook express、Outlook 2002, 2003, 2007 三不三要原則 信件判斷 結語 附錄:FAQ 電子郵件社交工程手法剖析 • 利用人性的弱點，如好奇、恐懼、貪心、情色、 信任、不在意等，設計各式各樣的詐騙信件 • 常見的手法 – 假冒寄件者 – 透過HTML或腳本(script)語法遂行其目的(如連回特定 網站探測此信箱是否有效等) – 誘使點選信件中內含之釣魚網站、掛馬網頁或惡意程 式的連結等 – 夾帶含有惡意程式之附檔 – 利用應用程式之弱點(包括零時差攻擊) 電子郵件社交工程防範策略 • 技術性策略(收信程式安全性設定) – 不主動下載遠端圖檔(避免信件開啟時連線至遠端) – 禁止script執行 • 好習慣策略(遵守三不三要原則) – – – – – – 不開啟陌生人信件(設定郵件規則) 不開啟非公務信件 不輕易開啟附檔 開啟附檔前要先確認 點選連結前要先檢查 通行碼要定期更換 outlook express安全性設定1/5 • 以outlook express為例，在Win.

如何防範電子郵件社交工程
資訊系統處
2010.3
1
大 綱
電子郵件社交工程手法剖析
電子郵件社交工程防範策略
收信程式安全性設定
Outlook express、Outlook 2002, 2003, 2007
三不三要原則
信件判斷
結語
附錄:FAQ
2
電子郵件社交工程手法剖析
• 利用人性的弱點，如好奇、恐懼、貪心、情色、
信任、不在意等，設計各式各樣的詐騙信件
• 常見的手法
– 假冒寄件者
– 透過HTML或腳本(script)語法遂行其目的(如連回特定
網站探測此信箱是否有效等)
– 誘使點選信件中內含之釣魚網站、掛馬網頁或惡意程
式的連結等
– 夾帶含有惡意程式之附檔
– 利用應用程式之弱點(包括零時差攻擊)
3
電子郵件社交工程防範策略
• 技術性策略(收信程式安全性設定)
– 不主動下載遠端圖檔(避免信件開啟時連線至遠端)
– 禁止script執行
• 好習慣策略(遵守三不三要原則)
–
–
–
–
–
–
不開啟陌生人信件(設定郵件規則)
不開啟非公務信件
不輕易開啟附檔
開啟附檔前要先確認
點選連結前要先檢查
通行碼要定期更換
4
outlook express安全性設定1/5
• 以outlook express為例，在Win XP SP2以後即
內定不開啟遠端連結之圖片及不執行腳本
• 「工具／選項／安全性」
5
outlook express安全性設定2/5
• 信中有遠端圖片連結部分即不下載而顯示X
6
outlook express安全性設定3/5
• 另一種直接設定成純文字讀取，「工具／選項／
讀取」
7
outlook express安全性設定4/5
• 信件內容只以文字方式呈現
8
outlook express安全性設定5/5
• 不論何種設定，一轉寄就破功了
• 未經查證之訊息，不要轉寄
9
Outlook 安全性設定1/6
• 以Outlook 2003為
例，「工具／安全性
」
10
Outlook 安全性設定2/6
• Outlook 2003設定成純文字讀取，「工具
／選項」
11
Outlook 安全性設定3/6
•
•
Outlook 2002，要設定成純文字收信，只能修改註冊機碼(register)
在「開始／執行」中，鍵入regedit
•
找出
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail並
開啟
按「編輯／新增／DWord值」，鍵入 ReadAsPlain
按兩下「ReadAsPlain」開啟，「數值資料」輸入 1 ，再按「確定」結束修改
•
•
12
Outlook 安全性設定4/6
• 以Outlook 2007為例，「工具／信任中心／
自動下載」
13
Outlook 安全性設定5/5
• 以Outlook
2007為例設
定純文字收
信，「工具
／信任中心
／電子郵件
安全性」
14
Outlook 安全性設定6/6
• 跟outlook
express一樣
，一轉寄就
破功了
• 未經查證之
訊息，不要
轉寄
15
收信程式郵件規則設定1/3
• 利用郵件規則過濾郵件
– 規則:寄件者為通訊錄名單中，將信件移至公務
匣，以方便初步區分陌生人與熟識
• 以outlook express為例(outlook的設定方
法類似，且透過規則精靈更容易設定)，按
「工具／郵件規則／郵件」
16
收信程式郵件規則設定2/3
勾選
按新資料夾
按寄件者加入
寄件者為通訊錄中的名單，
勾選
後輸入”公務”
自動移至公務資料匣
規則地址
不在通訊錄中的寄件者，
新增資料夾
選擇所有人員
按通訊錄
若非預期的信可考慮直接
立即套用新建的
選擇名單
點選
刪除
「公務」郵件規則
點選
輸入名稱
17
收信程式郵件規則設定3/3
• 設定郵件規則注意事項
– 規則若1個以上，要注意先後順序，排在上方的規則若
條件符合就不會再往下套用
– 新建的規則應經過測試，看是否符合原來欲達到的目
標？
– 規則建置初期，可能有熟識寄件者尚未加至通訊錄而
造成信未被移至特定資料匣，將新的寄件者加入通訊
錄，下次就正常
– 即便是透過規則區分出的熟識者信件仍有可能是假冒
者(曾遇過同學的yahoo帳號被盜，駭客利用帳號內的
通訊錄寄出內含惡意程式的信)，點選連結或開啟附檔
仍需留意
18
三不原則
• 不開啟陌生人信件
– 利用郵件規則協助區分陌生與熟識者信件
• 不開啟非公務信件
– 非公務信件常夾雜許多垃圾郵件及社交工程郵
件，建議直接刪除
• 不輕易開啟附檔
– 除非是預期中的附檔，否則不開啟
19
三要原則
• 開啟附檔前要先確認
– 開啟附檔 (非預期中附檔)前另以電話確認
• 點選連結前要先檢查
– 點選連結前先判斷必要性?合理性?網址是否正確?內部
網站或外部網站?必要時電話確認!
• 通行碼要定期更換
– 定期(每3個月)更換通行碼，通行碼修改網址
http://email.taipower.com.tw/passwd.htm
– 通行碼強度可透過以下網址檢測
https://www.microsoft.com/protect/fraud/passwords/checker.aspx
20
寄件者檢查
• 打開信件之前如果有對寄件者有疑慮？可以先查看寄
件者電子郵件地址
21
寄件者檢查
• 打開信件之前如果有對寄件者有疑慮？可以先查看寄
件者電子郵件地址
• 以99.2.22駭客的社交工程電子郵件為例(緊急通知：
您的TaiPower賬戶即將被封鎖!)，雖寄件者為mail
server，但從剛剛的檢查可得知寄件者是[email protected]，並非由taipower.com.tw帳號寄出
• 至於寄件者詳細資料之判斷可請單位資訊人員協助檢
查
22
連結正確性檢查
• 先判斷是否有必要點選連結？為何要點？
可能被駭？
• 點選前先檢查連結是否正確？
23
連結合理性檢查
• 正確性檢查後再檢查連結是否合理？
24
結 語
•透過收信程式安全性設定協助降低社交工程風險
•收信應注意
–檢查寄件者的真偽
–確認信件內容的真實度
–不輕易開啟郵件中的超連結以及附件
–開啟超連結或檔案前，確認對應軟體（如IE、Office、
壓縮軟體、adobe等）都保持在已修補最新漏洞的狀態
•轉信或寄信應注意
–未經查證之訊息，不要轉寄
–轉寄郵件前先將他人郵件地址刪除，避免別人郵件地址
傳出
–寄送信件給群體收件者時，應將收件者列在密件副件，
以免收件人資訊外洩
25
附錄:FAQ
Q:什麼是掛馬網站(頁)?
A:即網頁或網站上暗藏木馬等惡意程式的網頁，當被害人瀏覽至該網頁
時，透過瀏覽器漏洞植入惡意程式至被害人電腦。
Q:社交工程電子郵件為什麼防火牆或防毒軟體無法阻擋下來？資訊處是
否該更換設備或軟體?
A:如果電子郵件中含有惡意程式的附檔當然有極大的可能會被防毒軟體
偵測到而移除，但目前多數的社交工程電子郵件內容多為HTML或一
般文字格式，並未含有惡意程式特徵，但內含的連結會引導至有問題
的網頁或下載檔案，非常難防。因此目前市面上並無單一產品可針對
社交工程電子郵件進行防範，在此情況下只能透過如垃圾郵件過濾來
預防，但效果有限。目前最有效的仍是加強演練提高同仁警戒心。
Q:照投影片上的作法進行收信程式安全性設定是否就可以完全杜絕演練
及駭客的社交工程？
A:安全性設定可以讓你在開啟信件時不會回傳資料至遠端，因此對駭客
及演練都有效；但如果仍去點選下載遠端圖檔、內含的連結或開啟附
檔那還是會中招。畢竟你意志這麼堅決，誰也阻止不了你。
26