請各位同仁觀看教學資料,之後【填寫表單】以確認已完整觀看。感謝您的配合!
第一次演練:無點閱信件、連結與開啟副件。
第二次演練:有1封曾被受測者開啟信件。
本校受檢結果
第一次演練:有1封曾被受測者開啟信件;有3封點擊連結和開啟附件。
同一位人點開信封與連結的重複率高達7次,受測者未反應此信件為釣魚信件,需加強宣導。
第二次演練:有7封曾被受測者開啟信件。
本校受檢結果
測試目的
為提高教育機構教職員工【警覺性】以降低社交工程風險,本測試目的即是藉由模擬駭客寄送各種誘騙信件的手法,測試教職員點選各類誘騙信件的比率,以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。
演練測試方式
針對每位受測人員寄發不同內容之測試信件進行統計分析作業,統計受引誘而開啟信件或點選信件內之附件或網頁連結之數量及比率。
測試作業之測試信件寄件人名稱,均為偽造,用來測試受測人對寄件人名稱是否合理的辨識能力。
演練將以熱門話題做為信件主旨,請全校教職員收E-mail時勿點來路不明之郵件。
教育部歷年測試信件的標題非常多樣化,包含健康類、科技類、美容類、財金類、新奇類、旅遊業等,各種標題都是為了吸引大家開啟信件上鉤,一定要特別特別注意!!!
第一次演練:有1封曾被受測者開啟信件;有3封點擊連結和開啟附件。
同一位人點開信封與連結的重複率高達7次,受測者未反應此信件為釣魚信件,需加強宣導。
第二次演練:有7封曾被受測者開啟信件。
113學年度釣魚信件主旨
社交工程是一種利用人性的弱點進行詐騙,以達到個人目標的手段。最常利用的工具則是透過電子郵件的方式,誘騙使用者開啟信件或者點擊連結。駭客在這類型的信件中藏有惡意的軟體或連結,使用者如果點擊或開啟之後就讓駭客可以藉此達到操控的目的。
社交工程的手法日新月異,很難一言道盡。最簡單的應對方式就是:
不認識的寄件者來函,不要隨意開啟
與自己業務無關的信件,不要開啟
寄件者雖然是認識的人, 但是寄件地址跟以往不同, 開啟前先確認
取消收信的媒體之郵件預覽功能
右圖所示,即為駭客使用假冒的知名網站,偷取你的帳號密碼。
如果一時不察,帳號就可能被盜用。
信件中的附檔如果有病毒,在不知情的情況點下去就會中木馬等病毒並有機會被駭客盜取個人資料及電腦內的相關訊息。
收信時必須要注意寄件者的信箱、寄件時間以及信件的主旨還有附加檔案等等...,發現這些疑點有可能是釣魚郵件就應避免開啟信件附件或點擊信件內的超連結。
郵件軟體或平台的預覽功能若開啟,可能對於不明信件來不及刪除前就因為預覽信件而感染新型惡意程式。教育部發出的社交工程演練測試信件雖然不會有惡意程式,但設計對應機制可偵測信件是否被預覽開啟了,也就判斷該使用者可能較容易被攻擊成功,所以請大家再社交工程演練期間務必關閉信件預覽功能,相關設定請參考下列說明。
避免社交工程演練中的釣魚成功,主要是透過提升個人和組織的安全意識。員工應警惕可疑的電子郵件或訊息,不隨便點擊陌生的連結或附件,尤其是涉及敏感資訊的請求時應多加核實。啟用多重身份驗證可以增加安全性,防止憑證被濫用。定期進行安全培訓和模擬釣魚測試有助於提高識別和應對這些攻擊的能力,從而減少被成功攻擊的風險。 相關設定請參考下列說明。