社交工程宣導
社交工程是利用人性的弱點或利用人際之信任關係來進行詐騙,進行詐騙,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。
舉例說明:
常見的社交工程攻擊手法:
電子郵件攻擊或詐騙內容類型
電子郵件攻擊或詐騙手法型態
• 點選詐騙信件中的網址連結連到網頁後輸入帳號密碼
• 點選詐騙信件中的網址連結連到內藏惡意程式的網頁
• 點開詐騙信件中內含惡意程式,或利用軟體漏洞的附件檔案,例如MS Office、Adobe版本漏洞
• 透過附件內容騙取使用者回覆個人資訊,例如中獎通知
• 利用恐嚇性質的信件內容,造成收信者驚慌,並予以勒索匯款
教育部實施電子郵件社交工程演練
演練目的
社交工程為駭客常用入侵管道 ,透過電子郵件夾帶惡意程式或連結網址等方式,輔以吸引人之信件主旨及內容,誘使缺乏警戒心的使用者開啟後造成進一步破壞且多有實際入侵成功案例 ,嚴重損害機關或個人之權益 。為提高教育機構教職員工警覺性以降低社交工程風險,藉由模擬駭客寄送各種誘騙信件的手法,實際演練作業,測試教職員點選各類誘騙信件的比率,以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。提升教育體系人員針對社交工程攻擊之警覺性並檢驗機關防範社交工程成效及透過後續持續改善降低社交工程風險 。
演練方式
針對每位受測人員寄發 10 封不同內容測試測試信件進行統計分析作業,統計受引誘而開啟信件或點選信件內之附件或網頁連結之數量及比率。測試作業之測試信件寄件人名稱,均為偽造,用來測試受測人對寄件人名稱是否合理的辨識能力。
演練郵件型態
以偽冒公務、個人或公司行號等名義,發送社交工程演練 郵件 給受測 人 員 ,郵件主題分為八卦、休閒、保健、財經、新奇、時事、模擬實際社交工程樣本等類型,郵件內容包含連結網址或附檔。
目標值
依演練計畫之目標值,受測機關開啟信件人員比率應低於10%,點選連結或附件之人員比率應低於6%。演練結果未達目標值之機關針對所屬人員加強防範社交工程訓練宣導,強化人員資安警覺意識,落實公務信件處理安全。
針對社交工程和資訊安全的通識教育,我們每學期都會至少舉辦一次教育訓練,請大家積極參與。教材電子檔也會放置於本校tronclass系統上的[資訊安全宣導課程]。
教育部111年度演練測試信件
1. 信件主旨:非約定轉帳通知 網銀通知 (多人點擊!!!)
2. 信件主旨:20歲情侶赴柬埔寨淪豬仔被威脅賣器官 阿公急籌 200萬救人 海外救援小組
3. 信件主旨:【公告】轉任考試訊息
4. 信件主旨:人員培力增能研習一覽表 (多人點擊!!!)
5. 信件主旨:預防惡意攻擊!蘋果和 Google 急刪150 萬個 2 年未更新 App
6. 信件主旨:Safari 漏洞或導致瀏覽歷史、Google 帳戶資訊外洩
7. 信件主旨:遠端教育訓練變更通知
8. 信件主旨:【公告】人事異動通知 (多人點擊!!!)
9. 信件主旨:【人事公告】員工加薪通知 (多人點擊!!!)
10. 信件主旨:如果您無法登入帳戶
社交工程電子郵件特徵範例
【電子郵件關閉預覽視窗與下載圖片】
電腦版
Gmail 信箱,預設已經關閉預覽視窗。
請再自行關閉自動下載圖片!
APP版
1. 取消勾選 [下載附件]
2. [圖片] 選項設定成 [顯示不明外部圖片時, 必須先詢問我(同時停用動態電子郵件)]
3.取消勾選[啟動動態電子郵件]
IOS系統手機版
實際案例分析
1. 新簡訊詐騙!假冒監理站稱「欠繳汽燃費」
• 簡訊內容:【汽燃費逾期徴收通知】您的111年度汽燃費逾期金額2880元,請於112/04/11前繳納, https://******.tw/ 回復1開始連結査詢」。
• 簡訊寄件人號碼竟然是來自中國大陸,該頁面雖然看起來跟監理站網頁一模一樣,但網址明顯是假的。
• 以關鍵字檢索,可發現網傳訊息有多個版本,各版本簡訊中的網址不同,但所提及之金額、時間均相同,很可能就是一頁式釣魚詐騙,若真的依照上頭的指示操作,那麼很可能個資會被竊取,甚至還被盜刷,得不償失。
2. 偽冒Apple新詐騙信件曝光!超逼真手法公開
• 主旨您的Apple ID帳戶(xxx@xxx.xxx.xxx)有一筆交易目前受到限制
• 信件內容表示目前該帳戶有一筆交易受到限制,疑似被盜刷,不過Apple先行擋下來,為了保護資安,Apple支援想確認是否為本人使用,如果不是,請點擊信件當中的連結,聯絡Apple支援終止此行動
• 由於該寄件人連名字都是Apple,且整個格式還真的與Apple官方寄信格式相當接近,於是使用者不疑有他的點入連結進行更改密碼,接著詐騙集團會寄送「驗證碼簡訊」要求填入,填寫完成後,隨即馬上發現手機的ID帳戶直接被登出,接著就開始陸續收到盜刷的簡訊。隨後使用者打電話到APPLE進行申訴,48小時後Apple原廠回覆審核沒通過,最後經過Apple、電信業者聯繫,使用者自己只能吞下這些盜刷金額
• 提醒民眾如果莫名其妙收到來自「Apple的信件」,請一定要記得點開信件查詢寄件人的信箱帳號是否為「@apple.com」,另外也要注意信件內的用詞是否有帶有中國用語等詞彙,如果真的最近都無使用APPLE官網購買物品等情況,卻突然收到奇怪的信件,不確定還是打到蘋果客服聯繫確定再說,以免被詐騙!
3. 近年出現的勒索恐嚇信件
• 主旨為@mail.usc.edu.tw has been hacked, change your password ASAP等..
• 信件內容表示已掌握使用者的郵件密碼、上網紀錄、通聯記錄、硬碟資料與照片,且已植入惡意程式
• 要求支付900多美元的比特幣至指定帳戶
4. 此信件仿冒機關首長或其他主管、同事的信件
• 寄件者為機關首長,但所屬電子郵件帳號卻是外部信箱
• 信中要求回覆信件給他,來確認收件者信箱是否還有在使用