資訊安全與社交工程
教育訓練
圖書資訊館 , 網路通訊組 劉則明
Outline
教育部 - 惡意郵件開啟 分年目標 100 年度演練時程及 方式 Question 資訊安全概念 駭客攻擊手法 社交工程的定義 社交工程造成極大威 脅的原因 社交工程案例 常見的社交攻擊手法 與目標 社交工程攻擊的流程 社交工程的可疑徵兆 防範社交工程攻擊的 方法教育部 - 惡意郵件開啟分年目標
等級 適用單位 99 年度目標 100 年度目標 A 級 教育部、台大醫院、 成大醫院 開啟率 <10% 點閱率 < 6% 開啟率 <10%點閱率 < 6% B 級 大學、 區域網路中心、 縣 ( 市 ) 教育網路 中心 開啟率 <10% 點閱率 < 6% 開啟率 <10%點閱率 < 6%100
年度演練時程及方式
演練時程 演練方式 備考 國家資通安全會 報演練 1~12 月不定期演練 寄發電子郵件 學術機構分組 【教育部】演練 第 1 次演練 :5 月第 2 次演練 :9 月 寄發電子郵件Question 1
Scenario : 有一家公司引進了目前最好的安全技術,員工們也 都訓練有素,下班前會把所有的公司機密都鎖起 來,並請來保全業界最好的保全公司來保護這些機 密。還遵從了專家所提出的安全建議,也安裝了各 種受推薦的安全產品。 Question : 這家公司的安全是否真的無虞了呢?哪裡有可能會 出現安全性問題?Answer
安全還是堪虞 輕忽大意的員工
只有兩件事是永恆的,一是宇宙,一是人類的愚蠢,而我對前者
Question 2
我不是資訊人員,所以資訊安全與我無關。 我不是系統管理人員,所以駭客不會找上我。 我所使用的軟體都是正版的而且有安裝防毒軟體,所以我的 系統是安全無虞的。 為了不會忘記密碼,登入系統的密碼我一律使用我的身份證 號碼作為密碼。 我管理多個帳號密碼,為了管理方便所以我把帳號和密碼設 定成一樣。 我在單位裡的級職是最低的,所以不會成為攻擊目標。 對於主管於電話中或 E-mail 裡要求我提供系統的登入帳號 及密碼,我會不加思索的提供給他。資訊安全概念
沒有任何一套產品或系統可提供 100% 的安全 防護。 資訊安全的管理是建立在風險管理的基礎上。 任何系統最薄弱的一環是人,安全警覺訓練是投 資報酬率最高的安全對策。 資訊安全、人人有責。駭客攻擊手法
收集基本資料 尋找可能利用的弱點並測試所發現的弱點是否可 供利用 滲透 逐漸擴大入侵後的權限 進行入侵的目的 擴大入侵後的成果 清除入侵證據 ※ 其中以社交工程手法最容易進行資料的蒐集、弱點的測試及滲透的進行社交工程的故事
大野狼與七隻小羊
大野狼先取得攻擊目標的背景資訊: 羊媽媽留下七隻小羊在家裡單獨外出去找吃的東西 大野狼利用社交工程依序取得羊媽媽的特徵: 聲音輕柔 白色的腳 沒有指甲 大野狼依據取得到的資訊,改變聲音、把腳染白 及修剪指甲,於是突破小羊們的防備,讓小羊自 動把門打開社交工程的定義
網路世界的數位安全 (Secrets & Lies: Digital
Security in a Networked World) 的作者 Bruce Schneier 曾提到所謂社交工程,全都是由人性方
” ”
面,也就是利用所謂的 信任 來進行。
欺騙的藝術 (The Art of Deception) 的作者
( Kevin Mitnick ),更進一步的解釋到人類的 天性就是很希望能幫助別人,因此也相當容易被 欺騙。
社交工程的定義
以影響力或說服力來欺騙他人以獲得有用的資 訊。 利用人性弱點或利用人際之信任關係來進行詐 “ ” 騙,是一種非 全面 技術性的資訊安全攻擊方 式,藉由人際關係的互動進行犯罪行為。 以人為本、騙術為主 技術門檻低 利用人的貪念、好奇心及缺乏警覺性社交工程造成極大威脅的原因
不需要具備頂尖的電腦專業技術,只要員工對於 防範詐騙沒有足夠的認知,就可以輕易地避過了 企業的軟硬體安全防護,而騙取到各項帳號密 碼、個人資料、財務資料或公司重要資料等資 訊,對企業所造成的損害與威脅,完全不下於網 路上的各種駭客攻擊。 社交工程利用人性容易相信而上當的弱點,避開 了不容易破解的網路防火牆,只應用了簡單的溝 通和欺騙技巧,便突破了企業的安全防護,而所 花費的成本可能只有一、兩通電話的費用。社交工程的幽默案例
社交工程的幽默案例 count.
美國麻省理工學院 (MIT) 的惡作劇學生把加州理工學院
(CalTech) 的加農砲偷到了 MIT ,把它放在 MIT 的 Green
社交工程的幽默案例 count.
社交工程的幽默案例 count.
社交工程的幽默案例 count.
”
在這尊砲旁邊豎立的一塊銘碑上,除了說明了這尊砲的 前一 ”