首頁‎ > ‎資通安全宣導‎ > ‎

社交工程宣導


 電子郵件社交工程簡介

何謂社交工程

社交工程是利用人性的弱點進行詐騙,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。例如駭客通常藉由電話、電子郵件或假扮身分,問些看似無關緊要的問題來進行社交工程。這些手法的特性是攻擊者並不需具備高深的駭客技術或攻擊工具,僅利用人缺乏警覺性或有好奇心的弱點,就可輕鬆騙取個人資料、系統帳號密碼等重要資料,令人防不勝防。

電子郵件社交工程手法
  • 假冒寄件者
  • 讓人感興趣的主旨或內文
  • 帶有惡意內容
  • 惡意附件
  • 惡意JavaScript
  • 惡意連結
網路釣魚-含有惡意連結

最常見的手法,是駭客架設幾乎與官方公司一模一樣的網站,再透過電子郵件告知使用者資料過期、無效需要更新,或者是基於安全理由進行身分驗證等的理由,騙取個人連線上假冒的網站,進而取得帳號與密碼。

電子郵件社交工程之防護
  • 分辨電子郵件的真偽
  • 分析顯示名稱與電子郵件帳號,檢查寄件者是否正確
  • 分析郵件主旨與附件
  • 不開啟非公務相關的附件以及郵件
  • 不開啟任何寄件者沒有事先知會的附件
  • 不要顯示外部圖片
  • 不要點選信件中的連結
"開啟"電子郵件社交工程演練警覺性測試信的定義

瀏覽信件內的超連結(或把超連結複製到web browser瀏覽),或
點選信件內的附檔,或
在讀信軟體設定"顯示外部圖檔"的情況下顯示信件內文
("讀信模式"設定為"預覽模式"或使用者主動點選信件標題)