113年社交工程演練
-4月至12月
教育部訂於4~12月實施社交工程演練
測試期間
2024年4月1日~2024年12月31日
測試目的
為提高教育機構教職員工警覺性以降低社交工程風險,本測試目的即是藉由模擬駭客寄送各種誘騙信件的手法,測試教職員點選各類誘騙信件的比率,以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。
演練測試方式
每次演練作業,將針對各演練對象之受測人員寄送5封社交工程演練郵件(郵件型態以偽冒公務、個人或公司行號等名義,發送社交工程演練 郵件給受測人員,郵件主題分為八卦、休閒、保健、財經、新奇、時事、模擬實際社交工程樣本等類型,郵件內容包含連結網址或附檔。)統計受引誘而開啟信件或點選信件內之附件或網頁連結之數量及比率。
測試作業之測試信件寄件人名稱,均為偽造,用來測試受測人對寄件人名稱是否合理的辨識能力。
教育部歷年測試信件
教育部歷年測試信件的標題非常多樣化,包含主題八卦、休閒、保健、財經、新奇、時事、模擬實際社交工程樣本等類型,各種標題都是為了吸引大家開啟信件上鉤,一定要特別特別注意喔!!!
社交工程原理
社交工程是一種利用人性的弱點進行詐騙,以達到個人目標的手段。最常利用的工具則是透過電子郵件的方式,誘騙使用者開啟信件或者點擊連結。駭客在這類型的信件中藏有惡意的軟體或連結,使用者如果點擊或開啟之後就讓駭客可以藉此達到操控的目的。
社交工程的手法日新月異,很難一言道盡。最簡單的應對方式就是:,
不認識的寄件者來函, 不要隨意開啟
與自己業務無關的信件, 不要開啟
寄件者雖然是認識的人, 但是寄件地址跟以往不同, 開啟前先確認
取消收信的媒體之郵件預覽功能
右圖所示, 即為駭客使用假冒的知名網站, 偷取你的帳號密碼。如果一時不察, 帳號就可能被盜用。
信件中的附檔如果有病毒,在不知情的情況點下去就會中木馬等病毒並有機會被駭客盜取個人資料及電腦內的相關訊息。
收信時必須要注意寄件者的信箱、寄件時間以及信件的主旨還有附加檔案等等...,發現這些疑點有可能是釣魚郵件就應避免開啟信件附件或點擊信件內的超連結。
特別關注案例
2024年駭客將結合聊天機器人和偽造語音等不同的AI工具,製造多重面向的威脅,請參考:生成式AI成駭客新武器 當心社交工程詐騙
近期陸續有上市櫃公司遭駭客攻擊?請參考:上市櫃公司陸續遭駭 數位部為何示警社交工程欺騙?
假冒DHL發送通知快遞包裹為未成功送達的Email釣魚郵件內容,請參考:Email 收信別亂點連結!假冒「DHL」釣魚郵件現蹤竊個資
偽冒衛福部名義發送的電子郵件,請參考:收到衛福部寄來的信?當心是釣魚郵件陷阱
近期因為全球對於新冠病毒(COVID-19)發展的關注,於是出現不少新冠病毒相關主題的社交工程攻擊,請參考:防詐騙!指揮中心從未發「最終通知」獲不明郵件勿開啟、網路罪犯以新冠病毒為主題,對企業發動社交工程攻擊、 趨勢科技發布全球假冒新冠肺炎疫情之網路威脅情勢
最新時事,搶搭目前最熱門話題也有可能是社交工程的主旨,請參考:總統府釣魚信事件,情境換成假冒董事長、振興券,您的使用者能辨別嗎、居家辦公現資安破口 台銀洛城分行被騙1,350萬元
另外,Google雲端服務的普及率相當高,於是常見網路詐騙釣魚信件是假冒Google官方發出通知信件來騙取使用者的帳號密碼,一但真的進入了假冒的網站並輸入個人帳號密碼,帳號密碼就會被駭客竊取走,請參考:網路詐騙釣魚信件:「您的雲端硬碟有異動」,千萬別上當!
演練期間請關閉電子郵件服務的預覽功能
郵件軟體或平台的預覽功能若開啟,可能對於不明信件來不及刪除前就因為預覽信件而感染新型惡意程式。教育部發出的社交工程演練測試信件雖然不會有惡意程式,但設計對應機制可偵測信件是否被預覽開啟了,也就判斷該使用者可能較容易被攻擊成功,所以請大家再社交工程演練期間務必關閉信件預覽功能,相關設定請參考下列說明。
