校园网路社交工程与防护建国科技大学电子计算机中心课件.ppt

1、建國科技大學建國科技大學雲端服務與社交工程講習雲端服務與社交工程講習菁智科技股份有限公司菁智科技股份有限公司專案經理：曾照宏大綱 何謂社交工程 社交工程與攻擊手法 何謂網路釣魚 如何避免落入社交工程與網路釣魚的圈套 結論資通安全三部曲何謂社交工程 利用人性弱點的詐騙技術利用人性弱點的詐騙技術 社交工程(Social Engineering)，是一種利用人性弱點(疏忽)，並結合心理學知識如欺騙、偽裝、恐嚇、說服、恭維等以獲取(騙取)有用資訊的一種駭客攻擊手法駭客攻擊手法。利用與人互動的技巧利用與人互動的技巧 不用程式即可獲取帳號、密碼、信用卡密碼、身分證號碼、姓名、地址或其他可確認身分或機密資料

2、的方法。這些方法多半是使用與人互動的技巧技巧。以影響力或說服力來欺騙他人以獲得有用的資訊以影響力或說服力來欺騙他人以獲得有用的資訊詐騙集團詐騙集團駭客入侵電腦系統常用的三種方式利用系統的漏洞入侵利用系統的漏洞入侵(零時差攻擊零時差攻擊)暴力猜測帳號密碼暴力猜測帳號密碼騙取帳號密碼騙取帳號密碼社交工程社交工程網路釣魚網路釣魚校內佈有重重防護是否就可安心？我是計中，您的密碼到期，請給我就密碼幫您變更帳號s1234密碼abcd“謝謝”常見社交工程的各種攻擊方法 電話詐騙 利用電話佯裝資訊人員，騙取帳號及通行碼。偽裝委外廠商之維護人員或上級單位人員，乘機騙取帳號及通行碼。電子郵件隱藏電腦病毒 網路釣魚

3、利用電子郵件誘騙使用者登入偽裝之網站以騙取帳號及通行碼，如網路釣魚。圖片中的惡意程式利用電子郵件誘騙使用者開啟檔案、圖片，以植入惡意程式、暗中收集機敏性資料。偽裝修補程式利用提供工具、檔案、圖片為幌子，誘騙使用者下載，如偽裝的修補程式、p2p 下載軟體、工具軟體等，乘機植入惡意程式、暗中收集機敏性資料。即時通(MSN/Skype/LINE/YAHOO/QQ)利用即時通訊軟體如 MSN，偽裝親友來訊，誘騙點選來訊中之連結後中毒。電子郵件社交工程 利用寄發電子郵件，假冒親友或公司等相關寄件者，誘騙收件者信任，進而開啟郵件內容進行非法攻擊行為。電子郵件社交工程攻擊手法 假冒寄件者假冒寄件者 利用吸引

4、人的主旨誘騙開啟郵件利用吸引人的主旨誘騙開啟郵件 帶有惡意的內容帶有惡意的內容 惡意附件檔(木馬病毒)惡意JavaScript 開啟惡意連結(釣魚網站)誘騙登入帳號密碼誘騙登入帳號密碼(騙取資料騙取資料)通知重新認證通知重新認證(騙取資料騙取資料)社交工程與攻擊手法-電子郵件是王小英寄來的，打開看看無妨在使用者電腦安裝木馬程式成為殭屍電腦供駭客所用 透過電子郵件的社交工程社交工程與攻擊手法-電子郵件社交工程與攻擊手法-電子郵件社交工程與攻擊手法-電話/會面 透過電話與直接會面訪談的社交工程您好!這裡是計中，現在要幫您的電腦做維護是嗎?怎麼事先沒通知?這是教育部臨時要我們做的，剛剛已經幫其他系做

5、完，大家都覺得電腦變快了好啊!那就幫我做吧!那麻煩您提供您電腦的帳號與密碼，方便我遠端登入OK!我的帳號是s1234，密碼是abcd何謂網路釣魚 網路釣魚(Phishing)是利用偽造電子郵件與幾可亂真的仿冒網站作為誘餌，愚弄使用者洩漏如銀行帳戶密碼、信用卡號碼等個人機密資料的一種駭客手法。國內最嚴重的一次網釣魚案社交工程實例 帳號空間爆了帳號空間爆了的詐騙電子郵件，要求輸入帳號密碼。學校學校webmail系統絕不會發信要求系統絕不會發信要求使用者寄回帳號密碼使用者寄回帳號密碼 社交工程實例 假借帳號更新假借帳號更新等名義，要求收件人輸入個人帳號之密碼、生日等資訊。學校管理電子郵件絕不會發信學

6、校管理電子郵件絕不會發信要求師長寄回帳號密碼要求師長寄回帳號密碼社交工程實例 要求您寄回要求您寄回EMAIL ADDRESS,USERNAME,PASSWORDEMAIL ADDRESS,USERNAME,PASSWORD。計中校務系統均有相關資料，不計中校務系統均有相關資料，不會以電子郵件詢問師長，也不會會以電子郵件詢問師長，也不會要求師長回覆任何個人資料。要求師長回覆任何個人資料。簡單辨識釣魚信件的方式1.1.該網站非該網站非HTTPSHTTPS2.2.用用IPIP代替代替URLURL故此網站非故此網站非PayPalPayPal網路釣魚(Phishing)結合“Phone”和“Fishin

7、g”姜太公釣魚，願者上鉤 駭客偽造電子郵件與網站作為”誘餌”，寄發電子郵件要求使用者輸入帳號、密碼，來偷取使用者的身分資料及融帳號等機密資料。電腦可能會被植入木馬程式，重要資訊遭竊網路釣魚已經成為嚴重的社會問題網路釣魚(Phishing)-案例利用類似網址騙取個人資料假網頁的網址連接假網頁的網址連接http:/.twhttp:/.tw23假網頁的網址連接http:/www.china-.twhttp:/www.china-.tw釣魚網站?真的網站?網路釣魚 案例郵件內含釣魚網站郵件內含釣魚網站連結，誘騙點選連結，誘騙點選社交工程案例 MSN 詐騙MSN 詐騙實例1 有朋友離線狀態丟個網址給你，

8、要你衝人氣之類的就消失的嗎？有的話請注意！MSN 詐騙實例2MSN 詐騙實例3正確網址：正確網址：http:/MSN 詐騙實例4 開始以好友身份登入後，向MSN聯絡人進行詐騙，遊說購買遊戲點數卡。5,000+10,000+30,000 提供點數卡上的序號及密碼後，就是有去無回了。電子郵件社交工程常見引誘主旨 惡意網頁攻擊(八卦主旨)惡意圖檔攻擊(情色主旨)惡意word檔攻擊(休閒娛樂主旨)惡意網頁攻擊(養生保健主旨)惡意word檔攻擊(公務人員相關主旨)惡意網頁攻擊(政治主旨)惡意網頁攻擊(八卦主旨)惡意圖檔攻擊(情色主旨)惡意word檔攻擊(休閒娛樂主旨)惡意網頁攻擊(養生保健主旨)惡意wo

9、rd檔攻擊(公務人員相關主旨)注意連結與附檔ComExeScrLnkBat小心木馬就在你身邊小心木馬就在你身邊注意連結與附檔40 請您檢查電子郵件是否夾帶檔案？檔名尾碼是否為異常名稱？如果有異常名稱，請勿直接開啟執行。電子郵件的附件檔案電子郵件的附件檔案高危險檔案類型名稱.scr.pif.bat.cmd.doc.xls.pps.reg.lnk.hta中危險檔案類型名稱.zip.rar.swf社交工程-電子郵件引誘累計次數說明 郵件預覽(閱覽)：累計一次 開啟郵件：累計一次 開啟郵件內網路/網頁連結：累計一次 郵件轉寄他人：累計 N N 次社交工程-電子郵件引誘圖解社交工程-電子郵件引誘圖解不錯

10、的養生訊息，打開來看看!好康道相報!轉寄給大家!電子郵件社交工程手法之防範 注意可疑電子郵件之特徵 要求輸入並送出個人私密資料的郵件 內文含有這是千真萬確的或 請將這封信轉寄給您所有的朋友 過於聳動的主旨或是緊急處置要求 不正常的發信時間 陌生人或少往來對象來信 認識的人來信但主旨或內容與其習性不服如何避免落入社交工程的圈套 電子郵件自我保護 不隨意開啟郵件 不隨意開啟或下載附件 不直接點選郵件中提供的網址 收到信件時須確認 寄件人 主旨 寄件時間 若無法確認，先以電話與發信人連繫後再開啟設定收信程式的安全性 入口網站Webmail 關閉信件預覽及html連結功能 Outlook 2007/2

11、010 或 Outlook Express 不自動下載圖檔 關閉信件預覽功能 以純文字開啟信件關閉入口網站Webmail信件預覽及html連結功能 進入Webmail點選”收件匣”點選”Other”下方的”Hide Preview”關閉入口網站Webmail信件預覽及html連結功能(續)點選”我的郵件設定”點選”檢視郵件”取消勾選”Block images in messages unless they are specifically requested?”取消勾選”Automatically show images in messages when the sender is in my

12、 address book?”Outlook 2007 不自動下載圖檔 開啟Outlook 2007 選取【工具】選取【信任中心】選擇【自動下載】將【不自動下載HTML電子郵件訊息或RSS項目中的圖片】打勾Outlook 2010 不自動下載圖檔 開啟Outlook 2010 點選【檔案】【說明】【選項】點選【信任中心】【信任中心設定】選擇【自動下載】將【不自動下載HTML電子郵件 訊息或RSS項目中的圖片】打勾Outlook 2007 關閉信件預覽功能 開啟outlook 2007 選取【檢視】選取【讀取窗格】選擇【關】Outlook 2010 關閉信件預覽功能 開啟outlook 2010

13、 選取【檢視】選取【讀取窗格】選擇【關】Outlook 2007 以純文字開啟信件 開啟outlook 2007 選取【工具】選取【信任中心】選擇【電子郵件安全性】將【以純文字讀取所有標準郵件】打勾Outlook 2010 以純文字開啟信件 開啟Outlook 2010 點選【檔案】【說明】【選項】點選【信任中心】【信任中心設定】選擇【電子郵件安全性】勾選【以純文字讀取所有 標準郵件】Outlook Express 不自動下載圖檔 開啟outlook express 選取【工具】選取【選項】選取【安全性】將【阻擋HTML電子郵件中的圖片和其他外部內容】打勾Outlook Express 關閉信

14、件預覽 開啟outlook express 選取【檢視】選取【版面配置】【顯示預覽窗格】不打勾Outlook Express 以純文字開啟信件 開啟outlook express 選取【工具】選取【選項】選取【讀取】將【在純文字中讀取所有郵件】打勾定期做Windows Update及病毒碼更新結論 遵守資通安全規定 密碼安全性原則 隨時修補系統安全性漏洞 隨時更新病毒碼 保護使用資料安全 電子郵件及網路使用規定結論(續)不未經確認即提供資料 不要開啟或回覆來歷不明電子郵件及附加檔案 不連結及登入未經確認的網站 不要下載或執行來歷不明軟體或檔案 不要洩露個人帳號密碼 不要用非信任電腦處理公務 不要隨意透露個人資料 不要忘記定期作資料備份社交工程雖然利用人性弱點來騙取機密資料，讓人覺得防不勝防，但如果能隨時提高警覺，遵守下列各項資訊安全防範原則，就能避免社交工程的攻擊傷害。The End The End 感謝各位的參與感謝各位的參與