iT邦幫忙

2021 iThome 鐵人賽

DAY 2
1
Security

三人要保密,一個人要學好資安系列 第 2

資安認知-社交工程

到職的第一個月,接到了一個小小的任務
顧問們將要到客戶端做資安認知教育訓練
而客戶在確認課程簡報的過程中,提出了一些建議:
「內容太艱澀了,認知課程希望要生活化一些」
希望能調整到符合客戶單位需求的授課內容

面對授課的對象為非IT產業背景的客戶
要尋找貼近生活化的例子進行說明

而通常非IT單位內部最相關的資安認知宣導就是
社交工程防範


社交工程(Social Engineering)攻擊的定義

  • 利用人性弱點、人際交往或互動特性所發展出來的一種攻擊方法
  • 包含電話詐騙、通訊軟體詐騙、電子郵件及簡訊詐騙等
  • 企業常見透過電子郵件進行攻擊或網頁暗藏木馬/rootkit
    • 使用與業務相關或令人感興趣的郵件內容
    • 含有惡意程式的附件或連結
    • 假冒寄件者
    • 利用應用程式之弱點
  • 而最終的目的在誘騙收信者提供個人資料(如:帳號、密碼)
  • 引誘收信者透過下載方式來執行以圖片、連結、夾檔所偽裝的惡意軟體。

    「釣魚信件」的目的在於騙取使用者的個人資訊,進而利用該資訊。
    仿照某公司的正式信函,透過偽造的內容,要求你點選網址登入網站,使資料遭到竊取。

釣魚郵件要釣什麼呢?
我們的攻擊目標,通常可分為以下三種

  • 竊取機敏資料:主要騙取金融相關服務的登入帳號及密碼,可能也為了後續騙取金錢財物目的;其次是電子郵件或其它網路服務的登入帳密。
  • 騙取金錢財物:可能通知受害人中了大獎,或稅務相關問題,以誘騙受害人匯款。
  • 誘導執行惡意程式:通常在郵件中放置惡意程式、惡意連結,並誘騙受害人開啟,目的在取得受害者電腦的控制權。

其他常見的社交工程攻擊方式....

  • 電子郵件隱藏電腦病毒
    將病毒、蠕蟲與惡意程式等隱藏在電子郵件中,看似朋友所寄來的郵件,卻是應用社交工程的電子郵件。
  • 網路釣魚
    偽裝知名企業或機關單位寄發的電子郵件,通知收件人必須重新驗證密碼或登入某網址輸入個人資料等,收件人若未小心求證而點擊了郵件中的連結,可能就下載了惡意程式,或假網頁上輸入了帳號密碼或信用卡資料等,造成銀行戶頭被盜領或盜刷。
  • 偽裝修補程式
    通常使用者對此類程式難有警覺,若安裝了這類的檔案,不但無法修補作業系統的任何漏洞,還可能被安裝了遠端竊取資料的木馬程式。

認知教育訓練課程應避免使用專有名詞,採口語化的表達
規劃配合時事貼近民眾,以提升資安意識及警覺性
大量的圖片及少量的文字說明,加深民眾對內容的印象
社交工程將分為幾個部分整理給各位


上一篇
到底什麼是資安?
下一篇
資安認知-手機簡訊釣魚
系列文
三人要保密,一個人要學好資安30

尚未有邦友留言

立即登入留言