Embed Size (px)
Citation preview
資訊安全講習-1- 資 訊 科 技 與 競 爭 優 勢 -
• ISO 27001 主導稽核員• ISO 20000 主導稽核員• ISO 9001 內部稽核員• BS 25999 主導稽核員• BS 10012 主導稽核員
李政峰 (James Lee)經濟部工業局-能源管理系統輔導顧問教育機構驗證中心ISCB個資講習顧問Line:bear1858
• SSCP 合格完訓• CISSP合格完訓• CCSP 合格完訓
Agenda
10招防網路釣魚
10種壞習慣電腦容易中毒
物聯網與安全威脅
行動裝置安全防護
資訊安全案例分享
課後評量
2
10招防網路釣魚- 資 訊 科 技 與 競 爭 優 勢 -
➢ 屬於社交工程手法
➢ 利用人性弱點的詐騙技術
➢ 以影響力、說服力或誘惑力來欺騙他人以獲得有用的資訊。
網路釣魚
詐騙集團
4
常見社交工程手法
電子郵件惡意程式
網路釣魚(phishing)
即時通訊軟體
傳送惡意連結或檔案
電話詐騙 偽裝修補程式
文件附帶木馬病毒
偽裝成知名網頁
偽裝成好友
圖片中的惡意程式
5
駭客詐騙目標
• 信用卡/金融卡號碼,包含卡片上的姓名、使用期限, 以及驗證號碼
• 個人身份資料,包含身分證號、姓名、地址、生日、電話號碼
• 電子郵件帳號密碼
• 網路銀行用來驗證身份提問的相關問題與答案
6
駭客詐騙目標-$$$
7
駭客詐騙目標-$$$
8
刑事局公布 10/1~10/7 詐騙高風險網站
9
資料來源:刑事警察局
刑事局公布 10/1~10/7 高風險賣場
資料來源:刑事警察局
10
刑事局公布 10/1~10/7詐騙來電
資料來源:刑事警察局
11
10種壞習慣電腦容易中毒- 資 訊 科 技 與 競 爭 優 勢 -
14
你中了嗎?
愛下載免費資料與遊戲
15
你中了嗎?
容易誤信假臉書通知訊息
16
你中了嗎?
隨意安裝不明軟體
物聯網與安全威脅- 資 訊 科 技 與 競 爭 優 勢 -
行動裝置的資安威脅
• 資料遺失(Data loss)• 設備遺失、退休的設備等
• 惡意程式(Mobile Malware)的資訊竊取• 應用程式的資安威脅
• 寫的不好,造成資訊處理風險
• 設備的弱點• 作業系統、應用程式、裝置設計
• 通訊的資安威脅• 不安全的WiFi通訊、暱名(不合法)的AP存取點
• 管理功能不足• 身份管理、功能限制
• NFC與近場通訊的安全
• NFC通訊的風險、駭客就在你身邊
18
NFC成為資料竊取的管道…
NFC只有在螢幕開啟時才有作用,所以…
19
智慧家庭連網裝置漏洞多
資料來源:2017 年 08 月 17 日 BY TREND LABS 趨勢科技全球技術支援與研發中心
近六個月全球連網路由器網路入侵總次數超過180萬次!
全球前三大受害地區:美國、中國、英國
20
智慧家庭連網裝置漏洞多
五大威脅攻擊
• 監聽攻擊:這種攻擊會用到監聽程式(sniffer),竊聽任何透過網路傳送的未加密資訊再加以竊取。
• 阻斷服務攻擊:網路犯罪分子利用這種攻擊來封鎖或癱瘓對某些網路或設備的使用。
• 金鑰淪陷攻擊:在此類攻擊中,用來加密通訊的金鑰被竊,被用於解譯加密過的資料。
• 基於密碼的攻擊:網路犯罪分子利用這類攻擊來入侵網路或連到特定網路的設備。主要是經由猜測或竊取密碼。
• 中間人攻擊:在此種攻擊中,第三者會竊走雙方或設備間傳輸的資料。
22
行動裝置安全防護- 資 訊 科 技 與 競 爭 優 勢 -
24
三個好習慣掌握行動裝置個資安全
為了能更安全地使用智慧型手機,請切記以下重點。1.收到軟體更新通知時請立即套用。2.避免下載來自不明第三方應用商店的 App,可從官方載點下載 App。
3.以免不法分子通過山寨 App 竊取個人信息。電腦防毒外,也不忘手機也要防毒。
Apple Pay上路 5招自保防盜用
25
資料與圖片來源:2017年03月28日蘋果即時
根據部分國際資安廠商預測,2016-2017年蘋果的系統漏洞有增加的趨勢,雖然尚未造成Apple Pay的重大資安事故,但來自國際駭客集團的威脅,在蘋果大推金流應用後,應該有增無減,值得持續關注。
Apple Pay上路 5招自保防盜用
26
資料與圖片來源:2017年03月28日蘋果即時
l、設定具備一定複雜度的密碼,及使用Apple手機的指紋辨識方法進行認證。
2、開啟「尋找我的 iPhone」,可於手機遺失時,將裝置設定為「遺失模式」,即可暫停Apple Pay服務,避免遭盜用。
3、不要任意進行手機破解(JB,或稱越獄軟體),且不要安裝任何來自非官網的不明APP。
4、執行原廠發布的不定期系統更新。5、謹慎使用公眾WIFI連線。
由簡訊詐騙演進成Line釣魚
27
資訊安全案例分享- 資 訊 科 技 與 競 爭 優 勢 -
資訊安全案例分享
29
學生駭客竊取帳號修改網站事件由來:北區某知名高中之學生於駭客教學網站習得駭客入侵技巧,練習入侵多所學校網站,並於某小學網站發布『學校寒假延長訊息』假消息,另刪除多所學校網站重要資料。預防方法:
• 如果您必須要離開公用電腦一段時間,登出所有的程式並關閉所有可能含有機密資訊的視窗。
• 應加強宣導駭客行為必須擔負法律責任。• 建置網站開發程式應加強系統安全 ( 如輸入欄位必須
進行字元檢查 ) ,避免產生程式漏洞,遭駭客入侵。• 網站作業系統、資料庫、服務軟體 ( 如 webServer)
應定期更新軟體,避免系統漏洞產生。
- 資料來源-教育部資訊及科技教育司
網路支付被盜刷 一覺醒來負債50萬資料來源:三立新聞網 2018年4月23日
隨著網路科技越來越發達,不少人都會使用「第三方支付」,把自己的銀行信用卡嵌入數位系統,讓付款流程變得簡潔,生活更加便利。儘管此類系統通常都會有一定的方法保護用戶個資,但還是難防有心人士,一名網友就在PTT上PO文,表示自己一覺醒來竟然被盜刷將近50多萬,讓他嚇出一身冷汗。該名網友說,自己有中國信託LINE Pay信用卡,沒想到一早醒來發現自己的信用卡被盜刷,從晚上10點一直到凌晨1點多,收到40幾封訊息,總共被盜刷了50多萬,比原本銀行給的額度還高,嚇得他趕緊打給中國信託申請止付信用卡爭議款。
30
警方提供250支 有54支感染惡意程式
資料來源:自由時報 2018年1月7日
總統府為宣導「資安即國安」理念,106年底首次主辦「一○六年府會資安週—資安即國安」活動,刑事局參與時提供的贈品為兩百五十支空白隨身碟(USB);諷刺的是,其中竟有五十四支感染惡意程式,因涉及總統府,極為敏感,國安單位擔心事件不單純,且又是在政府辦理資安問題活動時凸槌,特別要求刑事局徹查。刑事局調查後發現,原來是供應USB廠商作業員所使用的電腦中毒,他測試隨身碟的容量與良率時,將隨身碟插入電腦,進而造成大批隨身碟中毒,已排除故意及中國方面有意攻擊行為。
31
32傳真機,也有機會當作入侵網路的缺口!
資料來源:2018.8.23
具傳真功能的多功能印表機其實在部分行業如地產及醫療界相當普及,由於多功能印表機有連網功能,加上沒有充足的安全保障如防火牆,容易造成資安缺口。
32
勒索病毒轉往加密貨幣與變臉詐騙!
資料來源:2018.8.22
➢ 危害甚巨的勒索病毒要慶幸大家因媒體報導相當有警覺性,大家知道要定期備分,勒索病毒種類沒有增加。但勒索病毒變更複雜,用複合式方式存在,集合多種惡意程式的特徵,像是沒有檔案寫入或加密鎖,但仍偷用運算資源挖礦的狀況。
➢ 最近火紅的虛擬貨幣,區塊鏈部分,則是變成商業利益驅動的駭客下手的新目標。
33
11歲男童10分鐘入侵美國選舉網站!
資料來源:2018.8.14
➢ 在第 26 屆世界駭客大會 DEFCON 中,11 歲的 Emmett Brewer 與其他 50 個年紀 8~16 歲的兒童,參加「DEFCON 投票機器駭客村」活動(DEFCON Voting Machine Hacking Village)。這些孩童可嘗試利用駭客技術,入侵不同選舉網站的複製版「操縱投票結果」。
課後評量- 資 訊 科 技 與 競 爭 優 勢 -
36
感謝您的聆聽!
