iT邦幫忙

2021 iThome 鐵人賽

DAY 4
0
Security

三人要保密,一個人要學好資安系列 第 4

資安認知-電子郵件釣魚

在社交工程的攻擊中,我們最常見的也莫過於電子郵件釣魚
電子郵件釣魚也被列為主要進行社交工程演練的項目

由於近年的電子郵件釣魚技術十分成熟
也很容易找到相關的工具
如Kali Linux中的Social Engineering Toolkit(SET)
就可以簡單的模擬釣魚的情境


常見電子郵件釣魚手法

  • 會嘗試竊取透過電子郵件、 網站、 文字訊息或其他形式的電子通訊
    • 假冒網址或IP
      • 常見偽裝成正派的機構,利用獎品或是誘人的主旨標題吸引你點選連結,導向假冒的視窗,填寫資料以竊取電子郵件帳密、信用卡卡號和基本資料。
    • 寄送電子郵件
      • 用你的電子郵件寄包含著各式病毒的信件給你朋友、竊取你的網路帳戶惡意發文,自己在網路上發奇怪的文,但卻甚至根本不記得是在什麼地方這些資訊被盜用了。
    • 社群網站登入
      • 用熱門話題作為跳板,吸引使用者點選網址,進入網站裡註冊、登入社群帳號密碼。讓呈現出來的網址與假冒公司的官方網址完全相同,而資料自然若入詐騙集團手中。

社交工程常見的步驟

  1. 有心人在電子郵件內放置有害程式或連結
  2. 將信件寄給特定或不特定對象
  3. 使用者(收信後)開啟信件
  4. 啟動連結惡意網頁或下載有害程式
  5. 要求輸出使用者資料

關注可疑的電子郵件

  • 陌生人或極少往來對象的來信
  • 非正常的發信時間
  • 過於聳動或緊急的主旨
  • 主旨不明或與發信者習慣不同
  • 要求輸入敏感資料之郵件
  • 內含不明檔案或鏈結之信件

我們對電子郵件釣魚的防範有個簡單的小口訣
三不:不上鉤、不打開、不點擊

三要:要備份、要確認、要更新


使用者只能多一份警覺,在各個步驟多加留意,才能避免我們成為那隻被釣中的魚兒~


上一篇
資安認知-手機簡訊釣魚
下一篇
為何要執行弱點評估
系列文
三人要保密,一個人要學好資安30

尚未有邦友留言

立即登入留言