電子郵件社交工程 宣導與相關防範措施 講員 : 資訊中心吳凱威 101.05
大綱 社交工程簡介 何謂電子郵件社交工程 防範經由電子郵件的攻擊 重要通知![ 教育部電子郵件社交工程演練 ]
社交工程 社交工程 (Social Engineering) : 是利用人性弱點或利用人際之間的信任關係, 以影響力或說服力來欺騙他人以獲得有用的資訊與不當利益, 這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法 常見的社交工程手法-電話 假冒身份 電子郵件 ( 政治 笑話 養生資訊...) 網路釣魚 火辣圖片 偽裝程式 MSN... 社交工程造成極大威脅的原因, 在於惡意人士不需要具備頂尖的電腦專業技術, 只要企業員工對於防範詐騙沒有足夠的認知, 就可以輕易地避過了企業的軟硬體安全防護, 而騙取到各項帳號密碼 個人資料 財務資料或公司重要資料等資訊, 對企業所造成的損害與威脅, 完全不下於網路上的各種駭客攻擊
關鍵三問 我為何會收到這封郵件? 這是第一步, 也是最容易的一步, 強烈建議一定要徹底執行, 也就是 誰寄信給我 寄件者是誰 需要注意的是 寄件者名稱 寄件者郵件地址 是可以假造的 我是不是應該收到這封郵件? 需要注意的是 郵件內容, 包含郵件主旨及信件內容 是不是跟我有關聯? 內容是否合理? 有沒有威脅利誘的字眼? 有沒有詐騙的可能? 我是不是有必要開啟附件或點選連結? 真正危害的動作是開啟附件或點選連結讓電腦被植入惡意程式
進階辦識方法
Return-Path: 3. <qww@mail.cgu.edu.tw> Received: from cello.cgu.edu.tw (cello.cgu.edu.tw [163.25.114.7]) by mx1.cgu.edu.tw (8.13.8/8.13.8) with ESMTP id n3g0wjkl008231 for <awe@mail.cgu.edu.tw>; Thu, 16 Apr 2009 09:29:44 +0800 Received: from qww [(163.25.117.198)] by cello.cgu.edu.tw (envelope-from <qww@mail.cgu.edu.tw>) (Cellopoint E-mail Firewall v3.9.4 Build 1220) with ESMTP id 1941813720; Thu, 16 Apr 2009 09:25:32 +0800 From: =?big5?b?cxdxdy2+slrwsrs=?= <qww@mail.cgu.edu.tw> To: =?big5?b?s82rwg==?= 1. <awe@mail.cgu.edu.tw> 2. Subject: =?big5?b?qhskv7r0rbahqte2my4yns4xmtcumtq4ielqre+ko6xps1gx0kh8s6hc6qbtoug =?= Date: Thu, 16 Apr 2009 09:25:30 +0800 Message-ID: <108CA3AD52844D6BA04DA19921D5D2F6@qwqw> MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_nextpart_000_001a_01c9be75.492e4530" X-Mailer: Microsoft Office Outlook 11 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.5579 thread-index: Acm+Mjr8qJH1UVACRt6paPNBccvz8g== X-Greylist: Sender IP whitelisted, not delayed by milter-greylist-3.0 (mx1.cgu.edu.tw [163.25.114.51]); Thu, 16 Apr 2009 09:29:44 +0800 (CST) X-CGU-MailScanner-Information: Please contact the ISP for more information X-MailScanner-ID: n3g0wjkl008231 X-CGU-MailScanner: Found to be clean X-Spam-Status: No
Received: 3. from icst.org.tw (msa.icst.org.tw [219.87.129.228]) by mx1.cgu.edu.tw (8.13.8/8.13.8) with ESMTP id n2o2otly023159; Tue, 24 Mar 2009 10:50:59 +0800 Received: from icst.org.tw ([192.168.0.203]) by icst.org.tw with Microsoft SMTPSVC(6.0.3790.3959); Tue, 24 Mar 2009 10:50:53 +0800 Received: from irws ([10.20.4.245]) by icst.org.tw with Microsoft SMTPSVC(6.0.3790.3959); Tue, 24 Mar 2009 10:50:52 +0800 Message-ID: <33138686.97401237863050606.JavaMail.SYSTEM@192.168.0.203> From: " 國家資通安全會報技術服務中心 " <ncert@icst.org.tw> To: kaiwei@mail.cgu.edu.tw, 1. clif@mail.cgu.edu.tw 2. Subject: =?big5?b?kldzvfezcbp4kscw6q5huoqzcaz3pf63flp4s3gz+a==?= =?big5?b?wlpf3llvlbjqpneoxqxzs3gz+lr0r7iodllos3gqvqti?= MIME-Version: 1.0 Content-Type: multipart/signed; protocol="application/pkcs7-signature"; micalg=sha1; boundary="----=_part_6106_15702099.1237863050606" X-Priority: 3 X-OriginalArrivalTime: 24 Mar 2009 02:50:52.0703 (UTC) FILETIME=[589D12F0:01C9AC2B] Date: 24 Mar 2009 10:50:52 +0800 X-Greylist: IP, sender and recipient auto-whitelisted, not delayed by milter-greylist-3.0 (mx1.cgu.edu.tw [163.25.114.51]); Tue, 24 Mar 2009 10:50:59 +0800 (CST) X-CGU-MailScanner-Information: Please contact the ISP for more information X-MailScanner-ID: n2o2otly023159 X-CGU-MailScanner: Found to be clean X-Spam-Status: No
開啟信件後查看數位簽章標記及寄件者位址 ( 如下圖 )
點選後可看到這封郵件的簽章資料 ( 如下圖 )
您可以檢視憑證的有效性 ( 如下圖 ),ncert@icst.org.tw 之憑證為政府憑證管理中心所核發,service@icst.org.tw 之憑證則為 HiTRUST 所核發
99 年歷次測試信件的主旨 您的報稅內容正確嗎? 申報綜所稅 7 大錯誤必罰!!! 台灣最美獸醫連桃太郎都驚艷!! 炎炎夏日防曬不能少! 地震時如何有效的保護自己 上海世博會台灣館天燈造型驚艷全場 我家有小車神 ~ 七歲展現停車特技的小女孩! 美 時代 百大人物愛心婦陳樹菊入列 201 順向坡位置大分析 陽明團隊揭秘基因 Cisd2 讓人長壽! 史上最難搶 鐵 飯碗錄取率僅 1.25%
98 年歷次測試信件的主旨 USB 成病毒溫床! 台灣電腦今年 Q1 中毒率全球第四大 蔡依林愛無赦 + 練舞功超神奇混音版 軍方賣官內幕 聯合報邀請您賞桐花 新流感 H1N1 大流行期間, 個人保健注意事項 自行車旅遊私房路線 景氣復甦了嗎? 洋基球團虧待王建民 蛀牙不是病, 痛起來要人命 瑤瑤和舒舒, 你喜歡誰
98 年歷次測試信件的主旨 ( 續 ) 寄件者 信件標題 陌生的姓名 生活小品 讓你感動的動人廣告 投機大放送 如何提高中獎機率!! 好康旅遊 HiNet 旅遊網首發團 獨家限量獨享好康超低價!! 旅遊報馬仔 HiNet 旅遊網首發團 獨家限量獨享好康超低價!! 健康很重要喔 健康新撇步!! 如何活的更健康 電腦科技 七夕前後交友網站爆高量慎防網路桃色陷阱 影視新聞 文英阿姨病逝留給觀眾無限懷念 大家來八掛 昔日玉女紅星酒井法子自首坦承吸毒 趣味一下吧 親愛的同事! 放鬆一下 購物新天地 iphone 最新推出 3Gs 便宜到不敢相信!!
Please note,failure to respond to this e-mail message may result to technical problems on your Internet access and e-mail service.note that 詐騙帳號 / 密碼信件範例一 Subject: Maintenance Alert: Upgrade your CGU Account Dear CGU Account User, Your mailbox has exceeded the storage limit which is 20GB as set by your administrator, you are currently running on 20.9GB, you may not be able to receive some new mail until you re-validate your mailbox. We will deactivate some account from our database to enable us create more spaces for up coming subscribers in 2010 But to prevent this you have to confirm your account immediately after you receive this notification.to confirm and to keep your account active during and after this process, please reply to this message with the below account information's. Failure to do this might cause a permanent deactivation of your account from our database to enable us create more spaces for up coming subscribers Do confirm your account details below. 1. First Name & Last Name: 2. Full Login Email Address: 3. Username & Password: 4. Retype Password: Warning Code: ID67565
詐騙帳號 / 密碼信件範例二 Subject: Dear Mail.cgu.edu.tw Email Subscribers Dear Mail.cgu.edu.tw Email Subscribers, This is to inform you that due to too many Spam mail that you receive these days, we would be performing maintenance in our web database and this might cause some interruptions when checking your mail and sending of mails from your email account, to avoid your mail account from been effected, you are advised to reply to this mail with your valid account information as given below as this will enable us upgrade your account. * User name:... * Password:... * Date of Birth:... * Country or Territory:... Please we are sincerely sorry for the inconveniences will may have caused you. It would take just two days to upgrade and we sincerely apologies for the inconveniences. Warning! Anyone who refuses to update his account after 2 days of receiving this warning will lose his account permanently. Cgu.edu.tw Copyright 2009 All rights reserved. IP Policy - Terms of Service - Guide to Online Security.
也是一種詐騙手法 -- 網路釣魚 (Fishing) 網路釣魚 (Phone+Fishing=Phshing ) 是常見的透過電子郵件手段的一種網路社交工程 ; 籍由誘惑使用者點選網頁連結 ( 利用預覽功能, 甚至不必等使用者點選!) 或打開副加檔案以植入惡意程式 (ex: 木馬 後門...) 假的網址 vs 真的網址 www.skl.com.tw vs www.sk1.com.tw www.icst1.org.tw vs www.icst.org.tw www.111.com.tw vs www.1111.com.tw www.citybank.com.tw vs www.citibank.com.tw www.paypal.com vs www.paypa1.com
介紹電子郵件收發軟體的安全性設定
Outlook 2003 關閉 [ 自動預覽 ] [ 讀取窗格 ] 設定 :
Outlook 2003 信件自動下載安全性設定 :
Outlook 2003 垃圾郵件安全性設定 :
使用 outlook 2003 純文字讀信方式 : 選擇 [ 工具 ]->[ 選項 ] 紅圈處
Outlook Express 的使用者將預覽窗格關閉方法如下 ~ 請到 檢視 版面配置, 不要選取下方 顯示預覽窗格 的選項 如下圖所示 :
使用 outlook express 不得已必須預覽時 :
學校首頁 Webmail 使用者 保持紅圈所示的設定較安全
再滑動捲軸至 信件過濾 如下圖, 可視個人需要打勾, 全部打勾最為安全, 但有時信件會被誤判而丟進 垃圾桶 或 廣告信匣 中 要按 儲存 生效
請評估選擇, 建議先選 否
信件打開後若欲以 html 模式觀看所有附加內容, 請點擊 -html- 字體, 可開放封鎖進而檢視信件全貌 但有被入侵的風險, 請審慎評估
Outlook 2007 關閉 [ 自動預覽 ] [ 讀取窗格 ] 設定 :
Outlook 2007 自動下載安全性設定 : 選擇 [ 工具 ] [ 信任中心 ] [ 自動下載 ]
Outlook 2007 垃圾郵件安全性設定 : 將信件開啟後點選紅圈處開啟 [ 垃圾郵件視窗 ]
Outlook 2007 純文字讀信方式 : 選擇 [ 工具 ] [ 信任中心 ] [ 電子郵件安全性 ] 紅圈處
Windows mail 的使用者將預覽窗格關閉方法如下 ~ 請到 檢視 版面配置, 不要選取下方 顯示預覽窗格 的選項 如下圖所示 :
Windows Mail 其它安全性設定 : 選擇 [ 工具 ]->[ 安全性選項 ]
( 總結 ) 防範經由電子郵件的攻擊 雖有 正常信 與 隔離信 通知的機制, 仍須留意漏網 之魚 不隨意開啟郵件 ( 注意陌生之寄件者 ) 取消郵件預覽 不隨意下載附件 : ( 高度危險.exe.doc.xls.zip.eml.bat.vbs 等 ) ( 中度危險.dat.jpg.mpg.bmp.rmvb.avi 等 ) 善用密件收件人 不隨意留下郵件地址予他人 定期自我執行病毒與後門程式掃瞄 帳號 / 密碼絶不可洩漏給任何人 熟悉社交工程的可能手法 通報資訊中心
注意!! 勿開啟不明來源信件之連結或附檔, 並關閉郵件預覽功能 使用電子郵件應有的警覺性觀念 : 1. 我為何會收到這封郵件?( 寄件者是誰? 我認識他嗎? 但須注意 寄件者名稱 和 寄件者地址 也是可以假造的!) 2. 我是不是應該收到這封郵件?( 這封信是不是跟我有關聯? 內容是否合理? 有没有威脅利誘的字眼? 有没有詐騙的可能?) 3. 我是不是有必要開啟附件或點選連結? 真正危害的動作是 開啟附檔 或 點選連結 進而讓電腦被植入惡意程式 所有資訊中心發出的通知信都是以中文書寫, 並會附上聯絡方式 若收到可疑信件或對信件內容有疑慮, 請先以電話查證
重要通知![ 教育部電子郵件社交工程演 練 ] 計畫 根據教育部函臺電字第 1010069516 號, 教育部將於 6 月及 10 月, 對全國各大專校院進行電子郵件社交工程演練, 並於事後公佈演練結果及違規人員名單加強教育 敬請各位同仁對於來路不明奇怪的信件或垃圾郵件直接刪除不要點開預覽, 若不慎點開, 請立刻將之刪除, 千萬不要再繼續點擊內文之超連結 附檔或同意下載任何東西, 必要時先以電話向發信者確認, 敬請配合這次教育部的電子郵件社交工程的演練