恩可埃技術服務有限公司陳文奇 Benson

2

社交工程宣導

3

致力於資訊安全管理系統專業管理顧問公司

ISO27001、ISO20000、ISO29100、….

ISO9001、ISO14001、ISO22000、OHSAS、….

擁有資安管理及技術專業證照的專業顧問團隊

ISMS LA、CISSP、CEH、GIAC、OSCP、CCNA、MCSE、….

輔導完成驗證各級政府機構及各類法人團體

A級:台灣自來水公司、公路總局、關稅總局、….

B級: 食品藥物管理署、稅務局、市政府、警察局、….

學校、醫院、金融機構….

恩可埃公司簡介

講師簡介—陳文奇 Benson

學歷： 嶺東科技大學 證照 :

Information Security Management Systems (ISMS) Auditor / Lead Auditor (in Accordance with ISO 27001:2013)

Information technology - Security techniques - Privacy framework Lead Auditor (in Accordance with ISO 29100:2011)

ITIL Foundation Certificate in IT Service Management ECSA-FD Foundation Certification

經歷： 恩可埃技術服務有限公司 IT技術部/專案部經理 國際品質驗證有限公司稽核員 鑫品科技有限公司 業務工程師 典淖資訊股份有限公司 系統/網管 工程師

輔導實績 台灣自來水公司\鯉魚潭給水廠\關務署臺中關\核能研究所\食品藥物管

理署\鉅冠印刷\臺灣港務公司\三軍總醫院\臺中市政府地政局…..4

對資訊安全應有之認知

瞭解資訊安全威脅與重要性，及其保護的方法，期能有效地配合政策之施行。

5

教育訓練的目的？

影片欣賞103年度資安動畫金像獎第一名：資安Oh-No!

國家資通安全會報 技術服務中心

http://www.icst.org.tw/

6

http://www.icst.org.tw/影片/103年度資安動畫金像獎 第一名：資安Oh-No!.mp4影片/103年度資安動畫金像獎 第一名：資安Oh-No!.mp4

課程大綱使用者面臨之威脅

資訊安全事件

社交工程簡介

社交工程的攻擊手法

預防社交工程攻擊

電腦使用好習慣

7

一、使用者面臨之威脅

8

傳統的攻擊方式

9

攻擊模式之演變

10

使用者為什麼成為目標？ 竊取機密檔案/文件

針對性資料蒐集

線上遊戲、網路購物及網路銀行等服務之有價財產

部落格或社群網站之帳號密碼

工作商業機密資料

跳板(殭屍電腦)

監控使用者行為

智慧型手機富含使用者個資(通訊錄、E-Mail等)

11

12

所見是否為真？

12

偽造案例中國信託

www.chiinatrust.com.tw

www.chinatrust.com.tw

花旗銀行

www.citibahk.com

www. citibank.com

匯豐銀行

www.hshc.com.tw

www.hsbc.com.tw

財政部北區國稅局

www.ntx.gov.tw

www.ntx.com.tw

雅虎拍賣 TW.BID.YAHOO.COM TW.BlD.YAHO0.COM

無名小站 www.vvretch.cc www.wretch.cc網路家庭 www.pchome.com.tw www.pchorne.com.tw新光人壽 www.skl.com.tw www.sk1.com.tw1111人力銀行 www.1111.com.tw www.11111.com.tw

13

臉書四胞胎？1. http://www.Faecbook.com

2. http://www.Facehook.com

3. http://www.Faceook.com

4. http://www.Facebook.com

mobile01山寨版

15

影片/Mobile01山寨版 網友擔心釣魚盜帳號.mp4影片/Mobile01山寨版 網友擔心釣魚盜帳號.mp4

UGG雪靴「山寨官網」

16

影片/【TVBS】UGG雪靴「山寨官網」　半價便宜賣瑕疵多.mp4影片/【TVBS】UGG雪靴「山寨官網」　半價便宜賣瑕疵多.mp4

172016/2/22 17

18

二、資訊安全事件

19

資安新聞 http://www.nccst.nat.gov.tw/

20

駭客集團利用Dropbox做為C&C伺服器 資安業者FireEye於12/1披露 ，有一中國駭客集團利用

Dropbox雲端服務充當攻擊行動的命令暨控制(Command and Control, C&C)伺服器，且在2015/8針對香港多家媒體展開魚叉式網路釣魚攻擊(Spear Phishing)。

FireEye是與Dropbox共同調查此一中國進階持續性滲透攻擊(Advanced Persistent Threat, APT)的駭客集團，駭客利用合法的社交網站或雲端儲存網站來進行通訊，以躲避偵測。

21

POS系統遭惡意程式鎖定 全球知名的連鎖飯店集團Starwood酒店與渡假村集團傳出資料外洩事件。

該公司在11/20主動揭露，旗下飯店使用的銷售點終端(Point of Sales, POS)系統遭到惡意程式感染，部分消費者的信用卡資料很可能已遭到竊取。

Starwood在官網上公布，最早在2014年11月至2015年6月，有54間旗下飯店證實遭到惡意程式影響，全部位於北美地區，每間飯店受影響狀況與時間長短不同，當中並包括數個重要的地標性飯店，如紐約時代廣場的Westin、Sheraton與W Hotel。

22

勒索軟體CryptoWall 3已造成3.25億美元損失 繼美國聯邦調查局(Federal Bureau of Investigation, FBI)在

2015/6揭露CryptoWall與其變種是對美國造成最大威脅的勒索軟體之後，2015/11由多家資安業者組成的網路威脅聯盟(Cyber Threat Alliance, CTA)，也發表一份深入研究CryptoWall 3的報告。

從2015/1迄今，駭客已發動49次基於CryptoWall 3的攻擊行動，嘗試感染逾40萬台裝置，CTA發現了多達4046個不同版本的惡意程式樣本，以及839個命令暨控制伺服器(Command and Control Server, C&C)網址，主要的受害者位於北美市場。

23

24

Scottrade遭駭客入侵 美國知名網路證券交易商史考特證券(Scottrade)於10/1對外證實遭到駭客入侵，影響約460萬名的客戶資料。

Scottrade是在接獲美國執法機構的通知才知道遭到駭客入侵，調查後顯示相關攻擊行動發生在2013年底至2014年初，雖然駭客非法存取的資料庫包含客戶名稱、地址、社會安全碼、電子郵件帳號與其他客戶機密資料，但Scottrade宣稱駭客鎖定的是客戶名稱與地址，而非其他機密資料。

24

南韓控北韓駭侵首爾地鐵網路 韓國聯合通訊社10/5報導，北韓去年疑似對南韓首都首爾(Seoul)的地鐵系統展開網路攻擊。

南韓首爾地鐵公司(Seoul Metro)日前稱核心伺服器遭推斷是來自北韓的駭客組織入侵，且長達5個月，對首爾市民造成巨大威脅。

國情院指出，由於駭客使用的進階持續性滲透攻擊(Advanced Persistent Threat, APT)方式，與2013/3韓國KBS、MBC等電視台、新韓銀行、農協等金融機構，遭駭客入侵事件的手法相同，疑似同一個網路恐怖組織，也就是北韓人民軍偵察總局所為。

25

酷派手機預設內含CoolReaper後門程式 資安業者Palo Alto Networks於12/17公布一份針對中國酷派(Coolpad)手機後門程式CoolReaper所進行的研究報告。報告內容指出，至少有24款酷派手機在出廠時就內建了CoolReaper後門程式。Palo Alto Networks表示，他們是在2013年10月接獲報告，有酷派的Android手機用戶發現廣告會以通知的形式出現，並還會自動安裝新程式，因而著手展開調查。Palo Alto Networks調查了市場上的77種酷派手機ROMs，其中有45種為官方版，32種為由第三方客製化，並發現當中的64種ROMs含有CoolReaper後門程式，其中的41種是官方版，另外的23種為第三方韌體，總計影響了至少24款酷派手機。 26

三、社交工程簡介

27

社交工程的定義 社交工程是一種利用人性的弱點及無知，透過欺騙、威脅，取得被害人的信任，讓被害人作出對自己有利的舉動

常見的手法有透過電話、手機簡訊、即時通訊等管道，設計詐騙劇本，讓被害人主動的告知個人機密資訊或交付財物

28

社交工程方式 早期社交工程是藉由電話或假扮身份問些看似無關緊要的問題等各種方法來獲取所需資訊

透過電子郵件進行攻擊之常見手法

假冒寄件者

使用與業務相關或令人感興趣的郵件內容

含有惡意程式的附件或連結

利用應用程式之弱點(包括零時差攻擊)。

29

APT攻擊_一場沒有中立國的戰爭

影片/APT攻擊一場沒有中立國的戰爭(真實案例模擬).mp4影片/APT攻擊一場沒有中立國的戰爭(真實案例模擬).mp4

四、社交工程的攻擊手法

31

社交工程攻擊手法─人

32

偽裝內部員工

偽裝重要人士

偽裝第三方組織

技術支援

直接攻擊

垃圾翻找(Dumpster Diving)

偷窺強記(Shoulder Surfing)

尾隨(Piggybacking)

社交工程攻擊手法─電腦

33

廣告郵件/垃圾郵件

郵件/即時通附檔

偽造郵件

釣魚網站

惡意郵件傳播方式

34

利用收信軟體漏洞

欺騙使用者點擊

誘人話題

身份偽裝

檔案偽裝

魚叉式詐騙(spearing)

誘人話題

35

常用手法

通知民眾中獎、退稅等詐騙方式

美女錯傳簡訊

威脅恐嚇

人性

貪心：撿便宜的個性

好奇：探索八卦訊息的個性

不在意：沒那麼倒楣吧的想法

警覺力：無所謂後果的嚴重性

恐懼：寧可信其有不可信其無

電子郵件社交工程攻擊方式

36

社交工程電子郵件內容

37

令人緊張或鬆懈防備之郵件主旨

關心提醒(請告訴身旁的女性朋友，小心電梯之狼)

誇大聳動(世界末日大預言)

郵件回覆(RE:會議參考資料)

郵件轉寄(FW:簡易規劃日本自助旅行)

工作業務、生活時事等相關或令人感興趣之郵件內容類型

政治新聞、特殊新奇

生活議題、休閒娛樂

社交群體、健康養生

社交工程電子郵件手法

38

混淆視聽之郵件寄件者

偽裝身分(王小明、Emily)

偽裝機關(AB銀行、XY商店)

偽裝服務(OX論壇電子報、YAHA新聞)

附件夾帶病毒、蠕蟲、木馬程式及殭屍程式等惡意程式

郵件本文夾帶惡意連結

網路釣魚

39

根據APWG(反網路釣魚工作小組)定義，網路釣魚利用社交工程與技術性的詐騙手法，偽造E-mail或釣魚網站(Phishing site) ，甚至採用綁架網址的方法，偷取使用者的身分資料及金融帳號等機密資料

近年來造成個人與企業極大損害的犯罪手法，國內網路詐騙雖無金額統計，案件數量也有大幅的年成長率

網路釣魚網站攻擊方式示意

40

網頁掛碼

41

網站系統有漏洞未修補，即容易被置入iframe 程式碼，受駭成為惡意網站

網頁掛碼呈現方式

不破壞原始網頁外觀

嵌入隱藏的網站頁面

嵌入的網頁隠含惡意程式

只要防毒軟體沒有偵測到，使用者可能永遠都不知道被植入惡意程式

遭受社交工程攻擊之後果

42

電腦被植入惡意程式後門程式

行為舉動遭到監視

個人資訊與機密檔案被竊取

如同監聽般的鍵盤側錄

使用者電腦遭感染成為殭屍電腦

當成網路攻擊行動的跳板

被操控並且發動惡意攻擊

智慧型手機間諜軟體

影片/間諜袋著走!揭發智慧型手機間諜軟體,滲透個人和企業的秘辛.mp4影片/間諜袋著走!揭發智慧型手機間諜軟體,滲透個人和企業的秘辛.mp4

五、預防社交工程攻擊

44

影片欣賞

社交工程宣導

45

影片/電子郵件社交工程宣導影片.mp4影片/電子郵件社交工程宣導影片.mp4

對於電子郵件應有的警覺性

46

為何我會收到這封郵件

應確認寄件來源及寄件者

我是否應該收到這封郵件

應確認郵件主旨及郵件內容

我是否應該開啟這封郵件

是否與業務工作相關

不開啟(點選)連結是否有影響

審慎查證(寄件者或資訊中心)

防範之道—停

47

使用電子郵件軟體前、先確認以下設定

安裝防毒軟體，確實更新病毒碼

取消郵件預覽功能

關閉自動下載圖片及其他功能

以純文字模式開啟郵件

設定過濾垃圾郵件機制

防範之道—看

48

收到郵件後務必留意

查看郵件來源是否正常(寄件者、寄件來源帳號)

審慎注意郵件中網址的正確性，避免直接點選

標題或內容是否與本身業務相關

無關公務之郵件避免開啟與點閱

防範之道—聽

49

若懷疑郵件來源務必進行確認

透過電話向對方確認信件真偽

檢視郵件內容之資訊

50

電腦不用要登出

機密資料要保護

密碼設定要穩固

重要資料要備份

電腦防毒要更新

應用系統要更新

瀏覽網路要提防

電子郵件要過濾

USB使用要謹慎

51

電腦不用要登出

長時間離開辦公室，記得將電腦關機

杜絕來自網路破壞

防止帳號或密碼被盜用

防止重要資料遭竊

應用程式不用時，登出應用程式及作業系統

離開座位，電腦應該設定螢幕保護程式

52

機密資料要保護

紙本

機密及敏感文件不可遺留於桌面上，必須存放於安全場所並加以上鎖

作廢敏感文件不得回收再利用

電子資料:

重要或敏感檔案要分開存放

設定密碼或以加密軟體保護

建議避免共用資料夾

資料庫設置存取帳號密碼及權限

53

密碼設定要穩固密碼是主要弱點

為節省時間或方便，共用密碼或選擇簡單的密碼密碼不夠複雜，很容易被別人猜到

定期更改密碼，減少被竊取的危險

54

密碼設定範例 技巧1

你好嗎(新注音輸入)Su# cl# a8&

技巧2

abcd + 1234 => a1b2c3d4

技巧3Birthday往前位移1個字母

Ahqsgczx

技巧4 In God we trust, else we investigate !

IGwt,ewi!

Raindrop keeps following on my head.

Rkfomh

密碼安全性測試

55

https://www-ssl.intel.com/content/www/us/en/forms/passwordwin.html

56

重要資料要備份

備份的重要性 預防重要資料或設備損壞遺失

確保可用性

可藉由以下方式達到備份目的 不同的儲存媒體

各式各樣的工具軟體

Windows本身所提供的程式

網路存放及備份

57

應用系統要更新

駭客經常透過漏洞來入侵電腦 作業系統或應用程式設計上的問題 更新軟體的修補程式

Windows update Office update

不要安裝未經驗證安全的軟體

Windows XP 停止更新支援

58

59

電腦防毒要更新 不要隨意複製或下載不明檔案 不要安裝未經驗證安全的軟體 隨時注意病毒最新資訊

資訊安全通報 防毒軟體廠商 報章雜誌

安裝防毒軟體 更新病毒碼 定時掃毒

http://www.avira.com

假防毒軟體

防毒測試

61

https://www.av-test.org/en/

62

瀏覽網路要提防 點選連結網站要確認網址以免受騙

選擇加密網頁瀏覽

63

64 64

網站辨別測試

65

https://www.staysecureonline.com/staying-safe-online/

66

67 67

68

69

70

71

72

USB使用要謹慎 可移除式媒體優點:

體積小，攜帶方便

儲存容量大

便宜

可移除式媒體資安威脅:

遺失

洩密

傳播病毒

行動裝置注意事項

73

不要瀏覽可疑的網站及下載來路不明的檔案

不要從未認證過之App Store下載應用程式

仔細查看任何要安裝的應用程式，確認是否合法以及要求哪些權限

採用最新韌體版本

使用手機防毒軟體

74

五招判斷行動裝置存在資安威脅徵兆電池壽命變短

通話經常不尋常中斷

電信費用異常

自動下在軟體

手機效能變差

結語

75

防護技術是反應攻擊的保護機制

新型態攻擊發生時，「人」是安全防範關鍵

使用者的資安認知教育為防範的基礎

時時刻刻保有警覺心

76 76

如有電腦使用或資訊安全問題請立即與電算中心反應

謝謝指教

陳文奇

Bensonisms.tec02@gmail.com

77