社交工程 計算機與通訊中心網路系統組陳怡碩 E-mail:yschen@cc.nthu.edu.tw 分機 :31234
Outline 前言 影片欣賞 介紹電子郵件進行攻擊之常見手法 電子郵件安全性設定
社交工程 社交工程的定義 利用人性弱點或利用人際之信任關係來進行詐騙, 是一種非 全面 技術性的資訊安全攻擊方式, 藉由人際關係的互動進行犯罪行為 社交工程陷阱這個名詞來自駭客出身的資安顧問 Kevin Mitnick, 它是種引誘人們做出本意不想的行為, 或是給出機密資料 欺騙的藝術 (The Art of Deception) 的作者 (Kevin Mitnick), 更進一步的解釋到人類的天性就是很希望能幫助別人, 因此也相當容易被欺騙 網路世界的數位安全 (Secrets & Lies: Digital Security in a Networked World) 的作者 Bruce Schneier 曾提到所謂社交工程, 全都是由人性方面, 也就是利用所謂的 信任 來進行 以人為本 騙術為主 技術門檻低 貪心 好奇 : 小心!ALS 漸凍人冰桶挑戰熱潮, 每日千台電腦中毒 缺乏警覺性 : 有那麼嚴重嗎?
社交工程攻擊的定義 利用人性弱點 人際交往或互動特性所發展出來的一種攻擊方法 早期社交工程是藉由電話或假扮身份問些看似無關緊要的問題等各種方法來獲取所需資訊 透過電子郵件進行攻擊之常見手法 假冒寄件者 使用與業務相關或令人感興趣的郵件內容 含有惡意程式的附件或連結 利用應用程式之弱點 ( 包括零時差攻擊 )
電子郵件社交工程的攻擊步驟 有心人設計陷阱或後門程式 在電子郵件內放置有害程式或連結 將信件寄給特定或不特定對象 使用者開啟信件 啟動或下載有害程式 反向輸出使用者資料 ( 轉眼變成受害者 )
防火牆傳統網路攻擊 End user 網際網路 內部伺服器
防火牆現在網路攻擊模式 網際網路 內部網路 E-mail
社交工程的各種攻擊方法 ( 一 ) 電子郵件隱藏電腦病毒 駭客利用社交工程的概念, 將病毒 蠕蟲與惡意程式等隱藏在電子郵件中, 這些看似朋友所寄來的郵件, 卻是應用社交工程的電子郵件陷阱, 例如過去造成重大損害的 I LOVE YOU 蠕蟲, 就是一種利用社交工程散播的電腦病毒 網路釣魚 偽裝知名企業或機關單位寄發的電子郵件, 通知收件人必須重新驗證密碼或登入某網址輸入個人資料等, 這種詐騙稱為網路釣魚 收件人若無小心求證而連結了郵件中的鏈結, 可能就下載了惡意程式 ; 或者在假網頁上輸入了帳號密碼或信用卡資料等, 造成銀行戶頭被盜領或盜刷等的嚴重後果, 這是近年來造成個人與企業極大損害的犯罪手法, 而網路釣魚就是一種典型的社交工程攻擊 偽造網址 :http://www.hinet.net http://www.hinet1.net 偽造網頁 : 製作與原來完全一樣的頁面, 以騙取重要的相關資訊
社交工程的各種攻擊方法 ( 二 ) 圖片中的惡意程式 明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一, 這些都是利用使用者的好奇心來散佈惡意程式, 之前 Sobig 網路病毒出現在某個含有色情內容的網路討論群組, 網友點選了其中像是裸照的內容就會感染病毒, 而該病毒總共導致了約 10 億美金的損失 偽裝修補程式 另一種社交工程的欺騙手法, 就是偽裝成微軟的修補更新程式, 因為一般使用者不會覺得這是來路不明的程式, 卻沒有防範社交工程也會利用這個漏洞, 而將惡意程式隱藏其中 使用者若安裝了這個檔案, 不但不會修補作業系統的任何漏洞, 還可能被安裝了遠端竊取資料的木馬程式
社交工程的各種攻擊方法 ( 三 ) 即時通也是社交工程的新途徑 近年來, 社交工程傳播惡意程式的途徑擴大至即時通訊軟體, 如 MSN ICQ YAHOO 即時通 QQ 等 2005 年 2 月, 一個使用 MSN 大量散播的病毒造成嚴重災情, 這個電腦病毒會利用 MSN 自動傳檔給 MSN 連絡人上的朋友, 亞洲各國皆傳出災情, 包括台灣的案例也有千起以上 手機簡訊也是近年來另一項值得注意的途徑, 就臺灣地區光是五月份, 手機詐騙得逞的案件就有 89 萬件 ( 來源 : 趨勢科技社群網站 ) LINE 免費貼圖詐騙 (line ID FB ID 手機號碼 ) http://www.techbang.com/posts/12286 多起網路攻擊以露骨情色誘人, 受駭者羞於啟齒, 疫發不可收拾! http://blog.trendmicro.com.tw/?p=11424 2013 社交工程手法回顧 http://www.netadmin.com.tw/article_content.aspx?sn=1401240002
社交工程詐騙成功的結果 垃圾信的發信主機 機密資料外洩 攻擊他人主機的跳板 非法資料的存放主機
軟體弱點與零時差攻擊 只要是軟體就可能存在有弱點, 未能及修補的話, 就可能遭利用被入侵成功 針對軟體弱點未修補前, 出現針對弱點的攻擊行為, 及稱為 零時差攻擊 弱點出現危險時期安全時期 出現危害程式 出現修補弱點程式
常見被利用的軟體弱點 微軟的作業系統和文書軟體 Microsoft office(word) 常見的應用軟體 Winrar adobe reader flash player 等軟體
Check Point 調研摘要內容 ( 一 ) 社交工程攻擊的確帶來危險 :86% 的信息技術及安全專家已經意識到社交工程所帶來的各類風險 近 48% 的受訪企業表示, 在過去兩年中曾遭受超過 25 次的社交工程攻擊 社交工程攻擊帶來嚴重經濟損失 : 受訪者估計每次安全事故會導致 25,000 美元至超過 100,000 美元不等的損失, 這其中包括業務中斷 客戶流失 收入減少和品牌受損等 最常見的社交工程攻擊來源 : 網絡釣魚郵件 (47%), 其次是會暴露個人和職業信息的社交網絡 (39%) 以及不安全的移動設備 (12%) 獲取利益是社交工程攻擊的主要動機 : 獲取利益被認為是社交工程攻擊的最主要動機, 其它動機依次是 : 獲得專有信息 (46%) 取得競爭優勢(40%) 以及報復 (14%)
Check Point 調研摘要內容 ( 二 ) 新員工最易受到社交工程攻擊影響 : 受訪者們認為新員工是易受社交工程威脅的高危群體 其它依次為合約商 (44%) 行政助理 (38%) 人力資源人員(33%) 商業領袖(32%) 和信息技術人員 (23%) 無論員工在企業中擔任何種職務, 對其進行適當培訓並培養其用戶意識都是安全政策中的重要一環 缺乏對預防社交工程危害的主動培訓 : 針對社交工程攻擊, 只有 19% 的企業有這方面的培訓或部署安全政策, 而 34% 的企業沒有任何計劃 對象 : 調研於 2011 年 7 月至 8 月期間進行, 採訪了 850 多名來自美國 加拿大 英國 德國 澳大利亞和新西蘭的信息技術和安全專家
新聞事件 2016 年 4 月 :FBI: 電子郵件詐騙兩年來騙走了 23 億美元 FBI 統計從 2013 年 10 月到今年 2 月間, 約有 1.7 萬名受害者, 總計被騙走了 23 億美元 且從去年 1 月起, 受害者的數量增加了 270% 2015 年 4 月底 : 芭比玩具商 Mattel 遭歹徒假冒 CEO 騙走 300 萬美元, 靠運氣成功追回 2015 年 2 月 : 第一銀行緊急通報, 小心偽冒之電子郵件詐騙網站詐欺!
103 年度演練信件標題
103 年上半年度教育部電子郵件社交工程演練標題 編號 信件類別 信件標題 Letter 1 時事類 鼎王認錯補償打 8 折送鍋底 Letter 2 知識類 煤炭的難題 Letter 3 健康類 8 種台灣版超級食物! 你一定不能錯過 Letter 4 財經類 好文分享 - 兩岸服貿協議真的 利大於弊? Letter 5 科技類 奈米 即將改變你的世界 Letter 6 生活類 十二星座小孩該怎麼教? Letter 7 新奇類 帶鹹味的繽紛, 探索克里米亞腐海之美 Letter 8 美女類 F90-- 由 15 名性感妹子組成的遊戲代言團體 Letter 9 旅遊類 跟著 KANO 電影四大場景, 遊台灣棒球原鄉 嘉義 Letter 10 美容類 打造千頌伊美鼻醫師 : 微整注射不宜超過 2 次
103 年下半年度教育部電子郵件社交工程演練標題 編號信件類別信件標題 Letter 1 生活類 必看瘋傳 一個高階主管在台積電 賣命癌症過世後給大家的啟示 Letter 2 知識類 改變孩子一生的 5 個習慣 Letter 3 科技類 關於蚊子的一些事 Letter 4 美女類 瑜珈女神性感誘惑史上最辣開球沒有之一 Letter 5 美容類 呼吸就能瘦美女中醫示範腹式呼吸法 Letter 6 旅遊類 驚奇景點 聽說最近台灣很紅! 最受國際矚目的台灣旅遊奇觀登場 Letter 7 財經類 央行打房下一波? 專家 : 桃園 新竹恐遭殃 Letter 8 時事類 提早規劃財務年初退休最省稅 Letter 9 健康類 看清這 10 點, 讓你果汁喝得更安心! Letter 10 新奇類 智利政府認證 : 確有 UFO! 詭異飛行器不是戰機!
教育部電子郵件社交工程演練案例
社交工程的防護 基本的防護 作業系統更新 應用軟體更新 防毒軟體 個人防火牆 再多一點的防護 調整收信軟體的部分設定 熟悉所使用軟體基本設定 近乎完美的防護 改變使用習慣
基本的防護 作業軟體更新 設定自動更新 microsoft update 應用軟體更新 Adobe reader 等軟體 安裝防毒軟體 個人防火牆並更新病毒碼 卡巴斯基 賽門鐵克
再多一點的防護 變更看信軟體的設定, 提高安全性 不自動下載圖檔 outlook2010 live mail Roundcube mail 關閉信件預覽功能 outlook2010 live mail 以純文字開啟信件 outlook2010 live mail
Outlook 2010 開啟 outlook 2010 選取 檔案 選取 選項 選擇 信任中心 點選 信任中心設定 選取 自動下載 將 不自動下載 HTML 電子郵件訊息或 RSS 項目中的圖片 打勾
live mail 開啟 live mail 選取 工具 選取 安全性選項 選取 安全性 將 阻擋 HTML 電子郵件中的圖片和其他外部內容 打勾
Roundcube mail 開啟 Roundcube mail 選取 設定 選取 郵件顯示 在 顯示遠端郵件內文中的圖片 選擇 永不
outlook 2010 開啟 outlook 2010 選取 檢視 選取 讀取窗格 選擇 關閉
live mail 開啟 live mail 選取 檢視 選取 版面配置 顯示預覽窗格 不打勾
Outlook 2010 開啟 outlook 2010 選取 檔案 選取 選項 選擇 信任中心 點選 信任中心設定 選擇 電子郵件安全性 將 以純文字讀取所有標準郵件 打勾
live mail 開啟 live mail 選取 工具 選取 選項 選取 讀取 將 在純文字中讀取所有郵件 打勾
近乎完美的防護 改變使用電子郵件的習慣 查明信件的來源 信件可由 mail header 查出所經的伺服器 釐清寄件者身分 以電話向寄件者確認 郵件驗證機制 附件加密
Mail header Return-Path: <vipmember@infoarray.tw> X-Original-To: OOO@mx.nthu.edu.tw Delivered-To: OOO@mx.nthu.edu.tw Received: from cp1.oz.nthu.edu.tw (cp1.oz.nthu.edu.tw [140.114.63.141]) by cc.nthu.edu.tw (Postfix) with ESMTP id AA6BA56C76 for <ptlin@cc.nthu.edu.tw>; Thu, 2 Jul 2009 13:56:42 +0800 (CST) parts Received: from mail.communicatearea.tw [(210.67.251.27)] by cp6.oz.nthu.edu.tw (envelope-from <vipmember@infoarray.tw>) (NTHUCCC AntiSPAM Mail Server with TLS) with ESMTP id 577192816; Mon, 18 May 2009 06:55:06 +0800 Received: from mailsystem ([192.168.255.100]) by mail.communicatearea.tw (8.13.8/8.13.8) with ESMTP id n4hms4w7018426 for <OOO@mx.nthu.edu.tw>; Mon, 18 May 2009 06:54:06 +0800 X-ssage-ID: <7141115.1242600903628.JavaMail.SYSTEM@mailsystem> Date: Mon, 18 May 2009 06:55:03 +0800 (CST) Return-Path: <enotification.29179911.22803.24122344@mail.hsbcdirect.com.tw> X-Original-To: yschen@cc.nthu.edu.tw Delivered-To: yschen@cc.nthu.edu.tw Received: from cp4.oz.nthu.edu.tw (cp4.oz.nthu.edu.tw [140.114.63.144]) by cc.nthu.edu.tw (Postfix) with ESMTP id 02C2356C76 for <yschen@cc.nthu.edu.tw>; Tue, 4 Aug 2009 09:00:09 +0800 (CST) Received: from hsbc.com.hk [(203.112.90.17)] by cp4.oz.nthu.edu.tw (envelope-from <enotification.29179911.22803.24122344@mail.hsbcdirect.com.tw>) (NTHUCCC AntiSPAM Mail Server with TLS) with ESMTP id 2060186609; Tue, 04 Aug 2009 09:00:08 +0800 Received: from ([10.208.60.64]) by HKIMP10SRV01.hsbc.com.hk with ESMTP id 5502409.10450253; Tue, 04 Aug 2009 04:28:54 +0800 From: "HSBC Direct" <enotification.29179911.22803.24122344@mail.hsbcdirect.com.tw> To: YSCHEN@CC.NTHU.EDU.TW
結論 兩不看 來源不明的信不看 不認識寄件者不看 不衝動 對於自己有興趣 有吸引力. 等信件
虎三小之童話變奏社交工程 電子郵件社交工程宣導影片 報告完畢 謝謝