Secu

rity

資訊安全教育訓練

1

Secu

rity

2

大綱

資訊安全認知宣導

近期資安事件與議題分享

手機APP資安疑慮與防範

電子郵件社交工程防制

APT（進階持續性滲透攻擊）與電子郵件社交工程

電子郵件社交工程防制措施

SOC事件通報處理流程

Secu

rity 台灣多起民間公司被駭探討

3

Secu

rity

4

Snapchat有漏洞導致460萬個資外洩

安全專家發現Snapchat漏洞，目前已經有利用其漏洞製作網站「SnapchatDB!」釋出，並且將包含460萬組包含帳號名稱、電話號碼與所在區域等資訊，製作成SQL或CSV檔案提供下載。

資料來源: 聯合新聞網: 2014.01.01 Snapchat漏洞爆發 460萬組個資外洩

http://mag.udn.com/mag/digital/storypage.jsp?f_ART_ID=492509#ixzz2u8kWN4jx

Secu

rity

5

內稽內控失靈 南韓信用卡7成外洩

南韓KB國民卡（KB Kookmin Card）、樂天卡（ Lotte Card ）與NH農協卡（NH Nonghyup Card），委託民營的南韓信用評價公司（Korea Credit Bureau；KCB）開發一套「FDS系統」，以防範信用卡被盜、偽造或竄改，但KCB一名高級技術人員監守自盜，2012及2013年多次利用系統開發之便，輕易地以USB隨身碟，從3家信用卡公司的資料庫複製2000多萬用戶資料，並將這些個資轉賣給直銷、貸款廣告公司。

外洩個資包括姓名、住址、電話號碼、銀行帳號、信用卡ID號碼、收入及婚姻狀況等，已有民眾打算對3家金融公司提出集體訴訟。一名律師透露，目前已有130人參加，求償每人1億1000萬韓元（約台幣311萬元），預料這將是眾多類似訴訟的第一波。

資料來源: 自由時報1/22 http://www.libertytimes.com.tw/2014/new/jan/22/today-int8.htm

Secu

rity

6

手機版免密碼隨選隨看 PChome私密照全被看光光

Secu

rity

7

網路購物個資外洩依然嚴重

刑事局表示，網路購物是國人常見的消費模式，詐騙集團經常鎖定安全性不佳之網站，盜取客戶資料進行詐騙。近日，165反詐騙諮詢專線資料庫發現，短時間內有數名民眾遭自稱「PG美人網」、「歐克團GO網」等網站銷售人員來電，稱因作業疏失要求配合取消分期付款而受騙案例，12月1至15日半個月期間，「PG美人網」有多達68例受騙。

另外「歐克團GO網」有42位民眾遭到詐騙出面報案，總財損金額為452萬餘元，單筆被騙最高金額為25萬6千元。另外包括「灰熊愛讀書」、「五南網路書店」也都是詐騙案發生前幾名的網路購物平台。

刑事局指出，由於歹徒清楚掌握民眾購物品項、金額、付款方式、取貨地點等資料，不排除係業者個資遭駭，造成民眾集體受騙。警方再次呼籲，ATM並無解除分期付款功能，網購民眾接到類似的詐騙電話，切勿受騙。

資料來源: 中時電子報 http://www.chinatimes.com/realtimenews/20131229001944-260402

Secu

rity

8

近兩年國際大型資料庫外洩單位

Secu

rity 手機APP資安疑慮與防範

9

Secu

rity

10

資安風險:手機惡意程式10年有成

Secu

rity

11

資安風險: 2013年手機惡意程式統計

2013年共有3,950,502隻惡意程式出現在手機上

Secu

rity

12

中東銀行遭受大規模手機惡意程式攻擊

從2013/04 到 2014/02 ，大約有27000封SMS被攔截， OTP訊息被轉給駭客。

資料來源: http://intelcrawler.com/news-12

Secu

rity

13

android手機惡意程式佔97%(2013)

手機惡意程式, android 佔了97%, 然後只有0.1%出現在google play內

Secu

rity

14

被「駭」有先例 ！ LINE資安疑慮得慎防

LINE和微信等通訊軟體真的很夯，不過機密個資真的有可能，透過不同管道，被駭客入侵嗎？

其實去年底就曾經發生，有台灣學生，成功侵入LINE

伺服器，偷走上百萬個資先例。

Secu

rity

15

NAVER.jp伺服器遭駭 百萬客戶資料外洩

資料來源:

http://www.appledaily.com.tw/realtim

enews/article/new/20131115/292916/

1/LINE%E4%BC%BA%E6%9C%8D%

E5%99%A8%E9%A6%96%E5%BA%

A6%E9%81%AD%E6%94%BB%E9%

99%B7%E3%80%80%E9%A7%AD%E

5%AE%A2%E7%AB%9F%E6%98%A

F%E5%8C%97%E7%A7%91%E5%A4

%A7%E5%AD%B8%E7%94%9F

2013年11月15日

日本LINE NAVER.jp

伺服器遭駭竊走169萬筆客戶資料。

Secu

rity

16

日本LINE帳號遭駭客入侵逾 303 件

2014年06月30日

LINE 證實至少有 303 個帳戶在今年五月下旬至 6

月 14 日之間，遭駭客以未經授權的情況下入侵。

資料來源:

http://www.ettoday.net/news/2014063

0/369879.htm

Secu

rity

17

微信情蒐個資？ 國安單位要官員少用

微信的系統，會連接到大陸跟香港的伺服器，不管是文字訊息、留言照片、影片，通通都會經過大陸伺服器，

很容易被監控

2013年11月16日

資料來源:

http://news.tvbs.com.tw/entry/51

0330

Secu

rity

18

加拿大與荷蘭指控WhatsApp侵犯個人隱私

2014年01月29日

加拿大隱私委員會辦公室（OPC）與荷蘭資料保護機構（CBP）這兩大組織的調查發現，WhatsApp

把使用者手機上的通訊錄轉移至該程式，而且就算使用者刪除了通訊錄上的某筆聯絡人，WhatsApp

仍會保留這些電話號碼。

資料來源:

http://www.ithome.com.tw/node/7861

1

Secu

rity

19

安全建議

• 由上述幾件各通訊軟體發生的資安事件了解，當在使用這些軟體時，其實您的個資及聊天內容已不知不覺的被備份至雲端伺服器，再加上如果您使用這些軟體與其他社群網路同步資料的話，這些資訊就是駭客覬覦的目標。

• 關於此類通訊軟體若使用於企業或機關公務上，將有極高的風險將機密文件或內容暴露在外，因此建議切勿使用於公務上。

• 若於一般使用，建議做好下列幾點安全設定：

加強密碼長度、複雜度。

隱私設定不公開。

設定「換機密碼」。

禁止與臉書或其他社群網路同步。

將「允許自其他裝置登入」關閉。

Secu

rity

20

行動裝置防毒軟體

Secu

rity

行動裝置安全防護提昇

21

Secu

rity

22

行動裝置安全防護提昇

內建防火牆、即時病毒與間諜程式防禦智慧型惡意程式

內建防失竊機制: 如轉換 SIM 卡可以設定鎖定手機

內建簡訊封鎖機制: 可透過簡訊發送遙控鎖住失竊或遺失的手機

內建簡訊抹除機制: 可透過簡訊發送刪除所有儲存資料

自動更新機制在有網路連結的狀態下，可隨時幫您自動取得更新資料

Secu

rity

APT（進階持續性滲透攻擊）與電子郵件社交工程

23

Secu

rity

24

APT活動持續進行

Secu

rity

25

20120210駭客入侵富士康並公布帳密資料

Secu

rity

26

2012 01 30 駭客入侵 Zappos外洩2,400萬筆個資

Secu

rity

27

20120206 多家憑證機構遭駭 網路釣魚威脅升高

Secu

rity

28

這個檔案真的是word嗎?

Secu

rity

29

這個檔案真的是word嗎?

Secu

rity

30

這個檔案真的是word嗎?

Secu

rity

31

這個檔案真的是word嗎?

Secu

rity

32

這個檔案真的是word嗎?

Secu

rity

33

Virustotal分析的結果

Secu

rity

34 34

可怕的反轉字元

• 如果您以為 這個檔案名稱是

議程準備資料SRVrcs.doc

就….中大獎了

• 實際上 真正的檔名是

議程準備資料SRVcod.scr

Secu

rity

35

20120105燦坤網路商城出現個資外洩

Secu

rity

36

20111124台新銀 2萬筆個資外洩

Secu

rity

37

20111126大陸網路史上最大的個資外洩

Secu

rity 何謂電子郵件社交工程

38 38

Secu

rity

The ONLY

Patch to

Human Nature is

EDUCATION !! 39 39

Secu

rity

何謂社交工程

社交工程是一種利用人性的弱點手法，以策略或詭計取得重要資訊

人與人之間的互相信任

好奇、恐懼、貪婪的心態

希望獲得幫助

利用社交工程手法可取得：

機敏資訊

需被授權的資料

40 40

Secu

rity

社交工程途徑

詐騙集團…太多手法

直接接觸（金光黨、火柴人）

MSN、Yahoo即時通

Blog

伊媚兒（電子郵件）

…只要能引誘使用者

41 41

Secu

rity

最常使用的社交工程

誘騙使用者開啟

網址連結

附件檔案

附件圖片

誘騙使用者連至釣魚網站

騙取帳號密碼

42 42

Secu

rity

透過E-mail

拍賣網站相關信件

付錢卻收不到東西

劫標信

買空賣空

假詢問信

網站的會員通知

特惠活動

修改密碼

廣告郵件

偽造信件

43 43

Secu

rity

冒充國科會寄來的惡意pdf檔案

44 44

Secu

rity

冒充科資中心寄來的惡意pdf檔案

45 45

Secu

rity

冒充國稅局寄來的惡意連結(1/2)

46 46

Secu

rity

冒充國稅局寄來的惡意連結(1/2)

http://www.ntat.gov.tw/county/ntat_ch/ab702.

jsp

http://ntat.webhop.info/county/ntat_ch/ab702.

htm

47 47

Secu

rity

48

社交工程信件範例

http://updates.issdu.com.tw.secure.first-

admin.com/core/id=7035655426-pt@issdu.com.tw-patch9768.exe

網址連結實際上是連到first-admin.com，並不是issdu.com.tw

。

48

Secu

rity

49

facebook社交工程(1/4)

http://tw0.us/2CB

49

Secu

rity

50

facebook社交工程(2/4)

網址是：http://magnet.x10hosting.com/peace

怎麼會出現facebook登入畫面？？

50

Secu

rity

51

facebook社交工程(3/4)

輸入帳號密碼看看會發生什麼事…？

51

Secu

rity

52

facebook社交工程(4/4)

頁面被導到另一個網站…

那我的facebook帳號密碼呢…..？

52

Secu

rity 如何防範電子郵件社交工程

53 53

Secu

rity

54

教育訓練

使用習慣是最主要的漏洞來源

使用者教育

– 郵件管理

– 上網習慣

– 不定時更新系統修補程式(Patch)

資安永遠學不完

–利用資安設備降低使用者造成的影響

54

Secu

rity

改善個人習慣

不要瀏灠非工作相關或不信任的網站或郵件

不要下載安裝未經認可的軟體或程式

不定時更新作業系統與應用程式Patch

安裝必要的防護軟體

不要開啟可疑或非工作相關的信件附檔

對任何提到”緊急”或”個人金融”保持懷疑態度。

如果對信件有任何一點疑慮，千萬不要點選email裡的超連結！

不要任意填寫email裡有關個人資料的表格。

在網站上輸入信用卡號或是個人資料時，永遠要先確認該網站是否真的安全。

55 55

Secu

rity

個人防毒

上網主機必須防毒

病毒碼必須更新

必須定期掃瞄

安全與效能成反比

56 56

Secu

rity

防駭/個人防火牆

只開啟必要的通道

只允許必要的程式使用網路

防止外來駭客

防止內生木馬

免費軟體

Windows防火牆

57 57

Secu

rity

瀏覽器內建功能

58 58

Secu

rity

Windows Live Toolbar

59 59

Secu

rity

防毒軟體

60 60

Secu

rity SOC事件通報處理流程

61

Secu

rity

各級威脅案件處置作業時效

62

通報等級 完成處置期限 執行處置時段

第一級（一般） 接獲通報後72小時以內 7x24（全日）

第二級（注意） 接獲通報後24小時以內 7x24（全日）

第三級（重大） 接獲通報後8小時以內 7x24（全日）

第四級（嚴重） 接獲通報後1小時以內 7x24（全日）

Secu

rity

標準作業流程說明

一、收到威脅案件通報

一.主要負責人員：資訊室、OP人員…etc。

二.作業說明：

當資訊室或OP人員收到SOC所發出的威脅案件通報後，應先瞭解威脅通報之內容及其安全事故分類，並確認各等級通報、分類其相對應之處置時效，以確保處置反應之時效性能達成。

若對威脅通報內容有任何疑問時應請求SOC提供說明及進一步之資訊。

63

Secu

rity

二、移交威脅案件

一.主要負責人員：資訊室、OP人員。

二.作業說明：

資訊室收到威脅案件通報，須按實際被攻擊之資產，將案件移交給適當之人員處置。

資訊室或相關業務負責人必須維護單位內或外點單位之資產管理者的相關聯絡方式，以及建立各維護廠商最小資源連絡名冊清單，以利威脅案件通報的移交。

移交資產管理者的過程中應完成說明威脅通報之等級、內容及處理時限。

若對威脅通報內容有任何疑問時應請求SOC提供說明及進一步之資訊。

64

Secu

rity

三、檢查受攻擊對象

一.主要負責人員：業務負責人或資產管理人員、OP人員。

二.作業說明：

受指派處置案件人員，須針對威脅類型之不同，而採取不同之檢查方式。

依據威脅通報內容追查被攻擊目標系統之資產等級及是否遭到破壞，下表為一般常見的威脅案件類型的損壞檢查方式。

65

Secu

rity

常見檢查方式

66

資安事件類型 檢查方式

病毒/蠕蟲事件 1. 更新最新病毒碼

2. 立即執行掃毒動作

HTTP相關攻擊事件

1. 檢查Web伺服器的存取紀錄

2. 比對相同攻擊來源IP

3. 比對事件時間前後的記錄

4. 比對HTTP status code來判斷存取是否成功

其他服務的攻擊事件

1. 檢查被攻擊服務的存取記錄或錯誤紀錄

2. 檢查作業系統的紀錄

3. 檢查異常網路連線netstat –an

4. 檢查異常程式的程序執行 ps –ax

5. 檢查異常的檔案

6. 檢查異常的帳號

Secu

rity

四、確定損壞?

一.主要負責人員：業務負責人或資產管理人員、OP人員。

二.作業說明：

檢查受攻擊之對象是否確實發生損害狀況，若發生服務中斷或遭受駭客入侵成功應進入「十、辨別重要資產」，否則應進入「五、瞭解案件原因及意圖」作業。

67

Secu

rity

五、了解案件原因及意圖

一.主要負責人員：業務負責人或資產管理人員、OP人員。

二.作業說明：

攻擊來源的判別：

A.可透過Whois資料庫的查詢。

B.可透過nslookup的DNS反查。

C.可透過ping或traceroute瞭解攻擊來源的途徑。

D.來自內部的攻擊：可能是惡意的內部人員或跳板主機。

E.來自競爭對手：可能是惡意竊取資訊。

F. 來自敵對國家：可能是政治挑釁行為。

攻擊手法的判別：

A. Scan類型：想要蒐集相關資訊。

B. DoS類型：想要阻斷服務。

C.密碼認證失敗類型：意圖猜測密碼以取得權限。

D.緩衝區溢位類型：想要執行惡意程式。

E.蠕蟲類型：通常為自動化散播及感染。

攻擊次數的判別：

A.短時間大量事件：自動化工具或蠕蟲所產生。

B. 長時間少量事件：手動產生。

68

Secu

rity

六、可疑威脅?

一.主要負責人員：業務負責人或資產管理人員、OP人員。

二.作業說明：

所謂可疑威脅是指業務負責人或資產管理人員、OP人員可確認為非正常作業所會觸發的事件，都可列為可疑威脅，若為正常作業所觸發的事件就應判定為誤判。

若為可疑威脅來源下一步應進行「七、防禦措施」，若非可疑威脅來源下一步應判斷是否為一「八、誤判事件？」。

69

Secu

rity

七、防禦措施

一.主要負責人員：業務負責人或資產管理人員、OP人員 。

二.作業說明：

常見的防禦措施如下列。

A.更新病毒碼並進行掃毒。

B.修補攻擊手法所針對的弱點。

C.通知防火牆管理者由防火牆阻擋來源IP或目的Port的存取。

D.可通知SOC協助由入侵防禦系統設備阻擋該攻擊手法。

E.關閉不需要的服務。

F.進行存取控管之限制。

70

Secu

rity

八、誤判事件

一.主要負責人員：業務負責人或資產管理人員、OP人員。

二.作業說明：

若案件的發生原因為正常行為所造成的誤判時，應進入「九、誤判調整作業請求」，以避免未來重覆發送誤判的威脅案件，否則應進入「十六、回報處置狀況」。

71

Secu

rity

九、誤判調整作業請求

一.主要負責人員：業務負責人或資產管理人員、OP人員。

二.作業說明：

告知SOC為誤判案件並請求進入誤判調整作業，以避免未來重覆發送誤判事件通報。

可直接回覆威脅案件通報的電子郵件，並告知為一正常行為所產生的誤判，可以進行誤判調整作業。

調整完成，SOC回覆相關人員。

72

Secu

rity

十、辨別重要資產?

一.主要負責人員：業務負責人或資產管理人員。

二.作業說明：

確認是否為重要資產，若確認為重要資產應進入「十一、安全事故緊急應變暨通報作業程序」，否則應進入「十二、啟動ERS」。

三.參考文件：

資產清冊。

風險評鑑報告。

73

Secu

rity

十一、安全事故緊急應變暨通報作業程序

一.主要負責人員：業務負責人或資產管理人員、SOC L1

。

二.作業說明：

確定為重要資產之後，立即回報SOC損害情況，由SOC

L1人員協助填寫「異常事件通報單」，按照「安全事故緊急應變暨通報作業程序書」所規範之SLA進行內部通報作業。

系統已遭受損害或服務中斷，業務負責人或資產管理人員應參照「安全事故緊急應變暨通報作業程序書」所規範之流程進行相關處置。

立即進行【系統切換作業】或【網頁切換備援作業】，聯絡系統相關負責人員及維護廠商進行修補程序。

依單位標準作業流程進行處置，若無法處置則進入「十一、啟動ERS？」考量是否啟動緊急回應處置服務。

三.參考文件：

安全事故緊急應變暨通報作業程序書。

74

Secu

rity

十二、啟動ERS?

一.主要負責人員：業務負責人或資產管理人員。

二.作業說明：

依受損狀態及是否有能力自行修復來決定是否啟動緊急回應服務(ERS)，若業務負責人或資產管理者沒有能力來修復損壞時，應進入「十五、ERS作業」否則進入「十三、自行鑑識」。

75

Secu

rity

十三、自行鑑識(處置)

一.主要負責人員：業務負責人或資產管理人員。

二.作業說明：

損壞鑑識之目的是追查威脅案件發生的狀況及原因，以利正確的防禦及修補作業。

從損壞的跡象及範圍來看可以縮小偵查的範圍。

參考相關之系統記錄及錯誤訊息可以找到可能的線索。

三.參考文件：

電腦鑑識相關技術書藉。

76

Secu

rity

十四、損壞復原及防禦措施

一.主要負責人員：業務負責人或資產管理人員。

二.作業說明：

受損壞之系統復原工作應由事故主機資產管理者與其系統維護廠商主導。

防禦措施才可以避免未來相同的威脅而造成的損害。

將結果記錄於【異常事件通報單】。

填寫【矯正/預防措施單】進行矯正預防。

將最後處置情形登載【資通安全監控中心系統】，進行結案。

77

Secu

rity

十五、ERS作業

一.主要負責人員：資訊室人員、數聯資安專案經理。

二.作業說明：

通常針對較嚴重之入侵事故及業務負責人或資產管理人員無法自行鑑識或損害復原之案件時，應向單位主管回報，統一由資訊室提出ERS需求，數聯資安專案經理根據合約之處理範圍，派遣數聯資安之專業技術人員進行鑑識分析作業，其包含下列工作項目。

A.現場鑑識分析及採證作業。

B.緊急防禦措施，立即避免災害擴大。

C.協助系統回復。

D.給予正確持續的防禦措施及方案。

修復後，將處理過程及結果記錄登載於【異常事件通報單】，再利用【矯正/預防措施單】矯正預防。

78

Secu

rity

十六、回報處置狀況

一.主要負責人員：業務負責人或資產管理人員。

二.作業說明：

業務負責人或資產管理人員於威脅處置期間，或完成處置作業後，應回應最新的處置狀況讓SOC

值班人員清楚。

若是SOC人員主動追蹤時，業務負責人或資產管理人員應盡力協助回覆。

業務負責人或資產管理人員可透過SOC入口網站、電子郵件或電話來回報處置狀況。

79

Secu

rity Q & A

80