1. 何謂「社交工程」
社交工程,英文為Social Engineering,是以影響力或說服力來欺騙他人以獲得有用的資訊,
這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。
社交工程造成極大威脅的原因,在於惡意人士不需要具備頂尖的電腦專業技術,
只要使用者對於防範詐騙沒有足夠的認知,就可以輕易地避過了軟硬體安全防護,
而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊,所造成的損害與威脅,完全不下於網路上的各種駭客攻擊。
電子郵件社交工程就是以寄送電子郵件的方式,來達到社交工程的目的。
2. 「電子郵件社交工程」的手法
‧假冒寄件者-常見為假冒政府機關(例如:行政院)、民間團體(例如:慈濟)等。
‧使用讓人感興趣的主旨與內文-通常會結合時事,例如太陽花學運、 尼泊爾強震等。
‧含有惡意程式的附件-電子郵件社交工程常會攜帶含有惡意程式的附件,
當收件人開啟附件後電腦就會中毒或被植入後門,屆時就可能會造成電腦當機或是密碼遭竊取的問題。
‧網路釣魚-透過寄送看起來像是來自可靠來源的正式通知,例如:銀行、信用卡公司或聲譽良好的線上商家。
使得收件者被引導至詐騙網站,並在其中被要求提供個人資訊,像是帳號或密碼。然後用此資訊來進行身分盜用。
3. 「可疑電子郵件之自我保護措施」
‧關閉預覽窗格。
‧非必要閱讀之郵件逕行刪除。‧設定為純文字讀取模式再開啟郵件閱讀。
‧開啟郵件內含之超連結時先確認連線網址之網域名稱(DomainName)是否足以識別?
‧若為數字IP之網址勿輕易開啟。不隨意輸入資料送出,傳送私密資料時確認是否有啟動加密機制。
‧分辨電子郵件的真偽。
4. 「使用者在收取電子郵件時應有的習慣」
‧檢查寄件者的真偽
‧不輕易開啟郵件中的超連結以及附件
‧開啟超連結或檔案前,確認對應軟體(例如防毒軟體)都保持在最新的修補狀態
‧提高警覺,加強危機意識
5. 「校內有關郵件社交工程之相關影片」
放置於兩處,分別為:
a.「東吳大學線上學習網」以電子化校園系統帳號密碼登入後觀看,
電算中心-資安課程系列=>網路攻防戰之實務案例郵件社交工程篇
b.「東吳行政moodle」以電子化校園系統帳號密碼登入後觀看,
資訊安全:智慧時代新生活-騙術與隱私
6. 「教育部歷年社交工程演練樣版」
7.「當進行郵件社交工程演練時,這些動作仍會被記錄為開啟信件或點擊連結」
‧以其他電子郵件信箱(例如gmail)接收本校信件後開啟或是點擊連結、附檔
‧將郵件社交工程演練信件轉寄至其他信箱(例如gmail)後開啟或是點擊連結、附檔
‧將郵件社交工程演練信件轉寄給其他人,結果其他人開啟或是點擊連結、附檔(此動作仍會記錄為原收件人進行開啟或是點擊連結、附檔)