Page 1

社社交交工工程程防防護護實實務務

網網路路四四通通八八達達 應應如如何何有有效效防防護護攻攻擊擊與與因因應應

課程大綱

² 網網路路犯犯罪罪案案例例分分析析² 社社交交工工程程與與相相關關防防護護方方式式² 防防範範惡惡意意程程式式攻攻擊擊與與詐詐騙騙² 資資通通安安全全法法規規的的衝衝擊擊與與因因應應² 正正確確的的資資安安觀觀念念

課程大綱

² 網網路路犯犯罪罪案案例例分分析析

Page 2

資訊外洩管道

* 問卷* 電話客服中心* 網購* 掛掛馬馬網網站站、、設設計計不不良良的的網網站站* 駭駭客客入入侵侵* 社社群群網網站站* P2P軟軟體體使使用用

* 信信用用卡卡* 內內部部人人員員* 補補習習班班* 電電子子謄謄本本系系統統* 直直銷銷公公司司* 盜盜版版光光碟碟* 即即時時通通訊訊軟軟體體* 釣釣魚魚網網站站* 委委外外廠廠商商

案例回顧：攝影機遭遠端遙控女子裸照PO上網

資資安安威威脅脅類類型型* 人員疏失* 非法存取* 違反法律、法規

資資安安觀觀點點

l 定定期期更更新新防防毒毒軟軟體體

l 拒拒絕絕下下載載不不明明軟軟體體

l 視視訊訊用用畢畢後後關關閉閉或或封封貼貼鏡鏡頭頭

資資料料來來源源：：資資安安人人網網站站

資資料料來來源源：：爽爽報報��

案例：網路監視器遭駭女出浴被窺

Page 3

案例回顧：好好萊萊塢塢艷艷照照風風暴暴

根據外媒報導，美國聯邦調查局（FBI）逮捕涉嫌竊取明星電腦內艷照的駭客柴尼（ChristopherChaney）並非唯一犯案的人，疑尚有其他駭客握有多名名人裸照。外媒報導，早在多年前就曾有駭客多次以郵件傳送多名名人裸照給該媒體，但該媒體並未刊登；美國聯邦政府表示，柴尼入侵蜜拉庫妮絲（MilaKunis）的手機並竊取庫妮絲和賈斯汀（JustinTimberlake）的裸照，但這些裸照早已有其他駭客發送給該媒體，柴尼並非唯一1個入侵名人手機與電腦的駭客。35歲的柴尼被指控入侵多位女明星電腦，竊取且公佈裸照而被逮捕，受害人包括星蜜拉庫妮絲、史嘉蕾喬韓森（ScarlettJohansson）、克莉絲汀（ChristinaAguilera）等50名影歌星。

資資料料來來源源：：爽爽報報

案例：勒索病毒WannaCry肆虐

資料來源：iThome

2017年十大安全威脅

* 進階持續性威脅攻擊的議題持續延燒(APT,AdvancePersistentThreat)。* 行動裝置的資料保護。* 來自組織內部的威脅日益趨增。* 透過瀏覽器的攻擊持續增加。* 社群網站引起的安全及隱私問題。* 檔案安全的重要性。* 資訊安全與雲端應用的衝突。* 駭客攻擊事件的全球化。* 資料安全與機敏性資料管理條例的整合。* 資安即國安議題的影響。

資資料料來來源源：：資資安安網網站站

Page 4

課程大綱

² 社社交交工工程程與與相相關關防防護護方方式式

何謂社交工程

• 社交工程(Social Engineering)為利用人性的弱點進行詐騙，是一種非”全面”技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。駭客通常由電話、Email或是假扮身份，問些看似無關緊要的問題等各種方法來進行社交工程。*  以人為本騙術為主*  技術門檻較低*  貪心：撿便宜的個性*  好奇：探索感興趣的事務*  缺乏警覺：有那麼嚴重嗎？

網路釣魚

• 網路釣魚(Phishing)是網路上在常見的社交工程，特別是利用Email來欺騙，對於此類攻擊的最佳對應方法就是在預覽前就刪除所有類似的郵件，如此亦可同時避免會在背景觸發不良程式的惡意郵件攻擊。

• 只要使用者警覺性不足，點選網頁連結或是開啟來路不明郵件的附加檔案，都可能被植入惡意程式。

• 當收到不尋常或太好康的訊息時，應思考訊息內容的可行性，千萬不要下載附件或是連結網頁，並依循資安通報管道進行通報。

Page 5

常見網路釣魚方法

•  砍站程式 •  首頁植入惡意程式 •  將DNS名稱更改其中一個英文字母 •  用數字1取代英文l •  或用數字0來取代英文O •  xxx.com.tw 或xxx.com •  發E-mail、廣告或簡訊 •  Google搜尋排名 •  向Google買關鍵字廣告 •  偽站己存在很久

網路騙術何其多?真假網站

判斷網路釣魚方式

• 發信人的名稱或郵件地址* 是否有異常？需確認發信者的身分

• 電子郵件的主旨與內容* 與本身的工作、業務是否有關連

• 網頁連結或夾帶附件檔案是否可疑* 郵件內異常網址連結判斷*  www.microsoft-mis.com*  www.hinet1.net,www-hinet.net*  www.paper-pchome.com,www.pchorne.com*  使用不明IP代替URL（如：http://220.33.444.12/）

Page 6

課程大綱

² 防防範範惡惡意意程程式式攻攻擊擊與與詐詐騙騙

網網路路下下單單

ISP公公司司

網網際際網網路路

網網路路商商店店

網網站站伺伺服服器器

網網路路的的風風險險──以以線線上上交交易易為為例例

1177

案例分析：垃圾郵件

Page 7

18

資資料料來來源源：：Line

防範惡意程式與詐騙

•  個人資訊勿隨意登錄於不明網站*  E-mail管理

l 區分公司及個人使用之信箱l 在外登錄註冊之信箱，容易收到許多垃圾郵件，使用時務必小心l 不回覆來源不明之郵件

*  定期安檢作業l 即時更新軟體修補程式l 即時更新防毒軟體及病毒碼l 經常對系統進行檢測

*  實體隔離l 機敏資料應於實體隔離主機上作業

Page 8

課程大綱

² 資資通通安安全全法法規規的的衝衝擊擊與與因因應應

規範要點

資通安全政策制定與推動組織、行政院及中央目的事業主管機關之權責，以強化資安政策之制定、推動與執行之能量。

* 規範公務機關應建立資通安全維護之機制。規範關鍵基礎設施提供者及受分級辦法納管之

「非公務機關應建立資通安全維護之機制」。

* 資通安全事件通報、應變及改善機制之規範。* 行政檢查與罰則及其他推動資通安全相關事項。

罰則

資資料料來來源源：：行行政政院院資資通通安安全全處處��

未未確確實實訂訂定定、、修修正正

或或實實施施資資通通安安全全維維

護護計計畫畫

令令限限期期改改正正；；屆屆期期未未改改正正者者，，按按次次處處新新臺臺幣幣十十萬萬元元以以上上二二百百萬萬元元以以下下罰罰鍰鍰

未未通通報報資資通通安安全全事事件件 處處新新臺臺幣幣十十萬萬元元以以上上一一百百萬萬元元以以下下罰罰鍰鍰，，並並令令限限期期改改正正；；屆屆期期未未改改正正者者，，按按次次處處罰罰之之

未未提提出出資資通通安安全全維維 護護計計畫畫實實施施情情形形及及

矯矯正正計計畫畫

令令限限期期改改正正；；屆屆期期未未改改正正者者，，按按次次處處新新臺臺幣幣五五萬萬元元以以上上五五十十萬萬元元以以下下罰罰鍰鍰

規規避避、、妨妨礙礙或或拒拒絕絕 行行政政檢檢查查 處處新新臺臺幣幣二二萬萬元元以以上上二二十十萬萬元元以以下下罰罰鍰鍰

Page 9

課程大綱

² 正正確確的的資資安安觀觀念念

正確的資安觀念

l USB隨身碟是病毒傳播常用媒介。l 拒絕開啟不明（異常）郵件。l 拒絕下載安裝外部軟體。l 不與家人共用電腦（尤其公務家辦者）。l 隨身碟與筆記型電腦不外借。l 公眾無線上網與旅館上網潛在危險多。l 不要太相信入口網站的下載資料。l 如果要下載程式，請從官方正式網站下載。l 不要相信公眾網路（含無線網路）的安全機制。l 視訊會議鏡頭不用時最好拔除或將鏡頭蓋上。l 資安觀念必須從辦公環境延伸至家裡（通常是資安大漏洞）。

組織單位落實資安管理應有之作為

² 導入暨建置資訊安全管理制度² 強化現有資訊安全管理制度² 檢視相關作業流程是否存在安全之漏洞² 導入適當技術控管措施以防止資安風險² 加強作業人員之資安訓練與政策宣導

Page 10

問題與討論