主講人 : 張庭禎 安全上網實務簡介
大綱 社交工程簡介 社交工程之郵件入侵手法社交工程之網站釣魚及防範安全的郵件使用方法 2011 年重要資安事件 2
社交工程簡介 社交工程之郵件入侵手法社交工程之網站釣魚及防範安全的郵件使用方法 2011 年重要資安事件 3
何謂社交工程 社交工程 (Social Engineering) 使用的方法不是依靠資訊技術, 而是一種利用人性弱點的詐騙技術, 可以藉由與他人之間的互動, 或利用某些組織內部的人員去違反組織的政策, 最後的目的就是獲得有價值的敏感資訊 4
以人為基礎的社交工程 偽裝成合法的使用者 偽裝成重要的人物 偽裝成技術支援 列印的紙中找資料 背後偷窺 5
以電腦為基礎的社交工程 郵件附檔 彈出視窗 中獎網頁 垃圾信 (Spam Mail) 與釣魚 即時通訊軟體 假的 (Fake) 網站 6
社交工程實施階段 先對目標組織進行研究 組織的員工或成員人數眾多 分支辦公室地點眾多 教育訓練入足 組織缺乏適當的安全政策 組織內的資訊很容易被獲得 社交攻擊手法 接待處或服務中心人員 技術支援人員 目標組織的業務人員 具有特殊權力者 基層庶務人員 與被害者發展關係 利用關係獲得目標物 7
社交工程為什麼會成功? 信任 忽略 害怕 貪婪 道德責任 8
社交工程簡介 社交工程之郵件入侵手法社交工程之網站釣魚及防範安全的郵件使用方法 2011 年重要資安事件 9
偽造攻擊
駭客手法 - 附件攻擊 病毒信附件的副檔名常見使用 Zip 或 RAR 壓縮檔格式來發送 不管是收到認識或不認識的人寄來的信件, 請使用加密處理 信件的內容大概都是 他去哪裡玩有拍一些照片要分享給你看 他在網路上看到你被偷拍的照片, 趕緊寄給你看是不是真的是你 ( 這樣你也真的打開來看的話 ~ 大概你也常去厚德路吧 ) 朋友的小孩離家出走說要見網友, 結果都沒有回家, 隨信寄了小孩的照片請大家幫忙協尋 就是要騙你去開檔來看 檔案就是 RAR 檔, 裡面放了一個執行檔 不要好奇去打開裡面的檔案, 直接刪除信件就好 一般常見會讓電腦中毒的副檔名包含 :.bat.exe.com.scr.zip.rar
病毒的真相 小心電子郵件病毒 近期以來發現許多的朋友會傳送電子郵件給我, 但都不是他們主動發出來的電子郵件, 大多是因為電腦中毒後, 帳號密碼遺失造成電子郵件信箱被有心人士利用而發送的病毒電子郵件 以下是實際的案例 : 說明 : 有一個朋友呢, 他寄了一個電子郵件給我 : 主旨 : 安安! 內容 : 請問把錢匯到這個帳戶嗎? 附件 : 帳號.zip
讓我們把這個電子郵件下載下來 ( 記得關閉防毒軟體 ; 沒有關閉防毒軟體也沒有關係, 因為剛剛我也沒關 ; 不要問我用哪一套防毒軟體 ) 近期的電子郵件病毒, 大部分使用的附檔名為 [.zip] [.rar] [.cmd], 在壓縮後將病毒及文字檔寄送給使用者 ( 也就是俗稱的準肉雞 ), 整個病毒的壓縮過程, 其實就是透過使用壓縮軟體並且更改副檔名的方式來完成的 說明 很多的使用者因為好奇心的關係 : 首先我們將這個病毒檔案 [ 帳號, 會去點選電子郵件所附加.zip], 的檔案使用按右鍵解壓縮的方式, 這次我們利用反向解壓縮的方式, 將, 來看看這樣的一檔案解壓縮出來個病毒檔案裡面到底有哪些東西, 得到一個名稱為 [ 帳號.cmd] 的檔案 ; 這個檔案就是病毒了, 但它仍不是病毒的本體執行檔, 它還是一個壓縮檔
讓我們用重新命名的方式, 將這個檔案 [ 帳號.cmd], 變更副檔名成為 [ 帳號.rar], 這個時候讓我們來看一下這個壓縮檔有甚麼神奇的地方 說明 : 使用 WinRAR 軟體將這個檔案 [ 帳號.rar] 點兩下打開來看, 可以看到在左邊顯示, 這個檔案含有兩個執行檔 [& 笑到你砰水 &.exe] 和 [6.exe], 右邊顯示這個檔案含有自解壓縮檔命令 ; 換句話說, 如果直接執行這個壓縮檔, 就等同於執行右邊命令列中 [Setup=& 笑到你砰水 &.exe], 也就是中毒啦
那到底 [& 笑到你砰水 &.exe] 是個甚麼東西呢? 在好奇心的驅使之下, 讓我們再次將 [& 笑到你砰水 &.exe] 這個檔案變更名稱成為 [123.rar], 看看能不能再透過解壓縮程式, 再做進一步的拆解 再次把變更名稱後的檔案 [123.rar] 打開來看看, 終於在左邊看到熟悉的 [& 笑到你砰水 &.txt], 可以看到內容了 ; 不過請注意右邊又出現字串 [ 含有自解壓縮檔命令 ], 而且出現語法 [Presetup=6.exe], 還記得剛剛有解壓縮出來的檔案 [6.exe] 嗎? 這個就是病毒的本體了 ; 當你看到 [& 笑到你砰水 &.txt] 的時候, 電腦也一併執行了病毒檔案, 真的是 [ 笑到你砰水 ]
我們來看一下這一封笑話的內容!!!
駭客手法 - 郵件跟蹤 電子郵件加入一個圖檔, 嵌在信件當中, 當收件人打開郵件時, 圖檔也同時被下載, 這樣寄件人就可以從圖檔被下載而得知對方已收到郵件了 加入一段超連結, 收件人點選超連結看到網頁時, 寄件人就可以從網頁被下載而得知對方已收到郵件了 同樣的手法, 也可以使用在 Word 或 MSN 軟體
駭客手法 - 郵件跟蹤案例 有家醫院的加護病房, 發生一連串的離奇事件 ; 只要病患一上四號床, 就一命嗚呼!!! 他們的表情似乎經過 - 垂死掙扎, 醫院內謠言四起, 這是冤魂報仇, 厲鬼索命, 四號床是奪命床 報告院長 : 病患又死了, 院長 : 我一定要查個水落石出, 今天起, 加護病房裝上監視器 當天晚上, 院長和幾個醫生守在螢幕旁, 時間一分一秒的過去, 病房裡一點動靜都沒有 一直到天亮時 : 有動靜... 18
駭客手法 - 郵件跟蹤案例 19
防範郵件攻擊 注意可疑電子郵件的特徵 過於聳動的主旨與緊急要求 不正常的發信時間 陌生人或少往來對象來信 認識的人來信但主旨或內容與其習性不符 要求輸入私密資料送出 社交工程信件的防範措施 關閉預覽窗格 非必要閱讀郵件逕行刪除 確認信件來源 設定為純文字讀取模式再開啟郵件閱讀 避免開啟郵件內的超連結
過於聳動的主旨與緊急要求
不正常的發信時間
收件人 不是我
寄件人 不認識
大部分 是英文
非必要閱讀郵件逕行刪除
確認信件來源
避免開啟郵件內的超連結
從根本解決社交工程的方法 : 設定為純文字讀取模式再開啟郵件閱讀
社交工程簡介 社交工程之郵件入侵手法社交工程之網站釣魚及防範安全的郵件使用方法 2011 年重要資安事件 30
釣魚網站測試 https://www.phish-nophish.com/cn/default.aspx 31
釣魚網站測試 http://safeweb.norton.com/?ulang=cht 32
33
釣魚網站測試 http://www.urlvoid.com/ 34
釣魚網站測試 35
社交工程簡介 社交工程之郵件入侵手法社交工程之網站釣魚及防範安全的郵件使用方法 2011 年重要資安事件 36
影分身之術 ( 你看不到我 ) 註冊新的網路服務 論壇 電子報等等 結果是 : 垃圾信都塞爆我信箱 37
影分身之術 ( 你看不到我 ) 拋棄式電子信箱 打帶跑 ~ 用完就丟 http://10minutemail.com 38
39
40
影分身之術 ( 你看不到我 ) 拋棄式電子郵件另一面 隱藏發信來源 ( 把自己隱藏起來 ) 發送黑函 發送含有惡意連結的郵件 雖然沒辦法直接發信給對方 ( 拋棄式無法主動發信, 只能回信 ), 但只要把發送的郵件地址偽造成對方的 E-mail 信箱, 將含有惡意超連結的內容寄到這個可拋棄的電子信箱內, 然後加上回信功能, 就能把信回 ( 寄 ) 給對方 ~ 造成隱匿自己寄信的功效 41
郵件追蹤之術 追蹤信件從哪裡 發出來 http://whatismyipaddress.com/trace-email 42
郵件追蹤之術 將信件標頭全部複製下來 43
郵件追蹤之術 - 信件從哪裡來 貼到以下網址的 Headers 裡面 http://whatismyipaddress.com/trace-email 貼上 Get Source 44
郵件追蹤之術 - 信件從哪裡來 45
傳送郵件的考量 可行的話將郵件傳送格式從 HTML 格式改用 純文字 txt 格式 ( 工具 選項 讀取及傳送 ) 關閉 啟動時傳送及接收郵件 每隔幾分鐘傳送及接收郵件 的功能 公務用 (xxx@mail.xyz.gov.tw) 與 個人 E-Mail (xxx@yahoo.com) 信箱請分開使用 寄件人改用 密件副本 46
設定郵件傳送格式 47
關閉 啟動時傳送及接收郵件 48
密件副本 49
接收郵件的考量 垃圾郵件 匿名郵件及偽造郵件攻擊 關閉郵件預覽功能 落實郵件附件檔掃毒 50
郵件附件檔 將附件檔 另存新檔 後掃描病毒, 不可以直接點選 2 下打開 修補 Microsoft Office Adobe Reader 等的相關讀取程式的弱點 如果不確定所收到的檔案是否有問題, 使用 可疑檔案上傳分析 確認 51
可疑檔案上傳分析 : 利用各家防毒軟毒軟體的掃描引擎, 同時對單一一個檔案, 作是否為病毒 木馬檔案的分析可協助檢測確認檔案本身是否異常 VirusTotal: 免費線上病毒和惡意軟體掃瞄 http://www.virustotal.com/zh-tw/ VirSCAN.org: 線上防毒引擎掃描網站 v1.00 目前支援 36 款防毒引擎 http://www.virscan.org/ Online malware scan http://virusscan.jotti.org/ 52
53
WebMail 的傳送與接收 WebMail 的使用原則, 跟本機 Mail 的注意事項也是一樣的 但 WebMail 更需要注意 預覽視窗 以及 超連結 的點選 雖然 WebMail 的附件檔並沒有收下來, 但若不注意仍有可能發生點選到有毒附件檔 WebMail 更需要經常 變更密碼, 來避免被他人竊取 盡量避免在他人或公用電腦中使用 WebMail, 有可能該電腦 已經中毒 如果一定要用, 使用前先掃毒 離開前請 登出 並要 清除瀏覽器的 Cookie, 避免帳號密碼被記住 54
釣魚社交工程 寄出釣魚信件, 來吧 ~ 你的帳號密碼 55
釣魚社交工程 收信看看 ~ 點選新增好友 56
釣魚社交工程 57
釣魚社交工程 騙到了 58
釣魚社交工程 可惡!~ 如何防禦?~~ 59
防禦陣線 : 防範社交工程策略 收信看看 ~ 避免從 E- Mail 中點選超連結 60
防禦陣線 : 防範社交工程策略 我的最愛是個很有用的東西 61
電子郵件重點項目 請勿開啟及預覽任何人所寄來的匿名 垃圾郵件 就算是開啟了也請勿點選 超連結 開啟任何郵件的附件檔前, 請記得 另存新檔 掃毒後再開啟 62
大綱 社交工程簡介 社交工程之郵件入侵手法社交工程之網站釣魚及防範安全的郵件使用方法 2011 年重要資安事件 63
2011 十大恐怖入侵 (1) 今年 (2011) 的 Black Hat 和 Defcon 揭露十大恐怖入侵 1. 西門子 S7 控制器 - 常應用於製造, 公共設施網路, 電力公司, 化學工廠等 2.VoIP botnet 控制 - 聲控殭屍網路 (How convenient!) 3. 電力網路設備 - 可偵察及控制使用電力線傳輸的家用保全設備 4. 駭客無人駕駛飛機 - 可依預設航線飛行, 擷取空中行動電話訊號及破解 5. 汽車警報系統入侵 - 透過行動電話傳送簡訊, 控制汽車警報系統 ( 以 Subaru Outback demo) 64
2011 十大恐怖入侵 (2) 6. 利用臉部相片搜尋社會安全號碼 - 擷取網路上的個人臉部相片, 利用臉部辨識及數位偵蒐找出社會安全號碼 ( 人肉搜索落伍了 ) 7. 入侵胰島素幫浦 - 可以遠端關閉或控制糖尿病患者的胰島素幫浦 8. 各式 OA 設備的內建 web server - 如影印機, 列表機 ( 這個應該不是新聞了 ) 9. 散佈偽造的路由訊息 - 透過 OSPF routing 協定, 散播假路由資料 10.SAP 弱點 - SAP 的 NetWeaver 軟體漏洞讓攻擊者可繞過身份鑑別機制, 入侵到 ERP 系統 http://www.networkworld.com/slideshows/2011/081011-blackhat-defcon-hacks.html 65
66
67
69
gmail.com 身分證字號 filetype:xls site:tw 70
gmail.com 勞保證 filetype:xls site:tw
為何要多加一道加密手續??????
光碟開機讀取資料 隨身碟加密 硬碟加密 虛擬磁區加密
以磁碟區為基礎的加密方式 Bit Locker Windows 內建加密功能 (Windows 7 企業版 / 旗艦版 ) 功能介紹 http://blogs.technet.com/b/twsecurity/archive /2011/05/11/bitlocker.aspx TrueCrypt 綠色免費軟體 (Windows Mac OS X Linux) 檔案下載 http://www.truecrypt.org/downloads 繁體中文語系下載 http://www.truecrypt.org/localizations
問題與討論