跳到主要內容區

LOGO

社交工程宣導

社交工程為駭客常用入侵管道,透過電子郵件夾帶惡意程式或連結網址等方式,輔以吸引人之信件主旨及內容,誘使缺乏警戒心的使用者點擊釣魚信件或簡訊後,騙取使用者個人資訊、密碼或下載惡意程式、檔案等,造成機敏資料外洩或遭勒索病毒攻擊等資安事件發生,嚴重損害機關或個人之權益。常見手法有:

網路釣魚:誘騙使用者登入偽裝之網站以騙取帳號及通行碼等機敏資料。
垃圾郵件:利用電子郵件誘騙使用者開啟檔案、圖片或連結,以植入惡意程式、暗中收集機敏性資料。

如何防範

  • 關閉電子郵件預覽功能、圖片自動下載功能、盡量以較安全之純文字模式讀取。
  • 開啟郵件前,請確認主旨與本身業務相關,或與承辦人、寄件人確認來信。
  • 不任意點閱郵件或簡訊中之超連結網址、附加檔案。
  • 檢查郵件附檔的副檔名,是否為常見可含有病毒的檔案名稱,如:*.bat、*.pif、*.exe、*.zip、*.src、*.cmd、*.rar 等
  • 公務郵件與私人郵件應區隔,請勿將公務郵件地址用於註冊、認證其他非公務平台。
  • 不隨意輸入帳號密碼資訊:輸入帳號密碼前應再三確認其正當性,避免遭假冒網站竊取。
  • 若有可疑信件、簡訊或相關問題,請洽資安人員(系網組)。

教育部社交工程演練
資通安全事件通報及應變辦法第8條:每半年辦理一次社交工程演練

  • 參與演練⼈員為學校全體人員。
  • 演練測試方式 :
  • 由教育部演練小組將偽冒公務消息、個人或公司行號、週報等名義發送惡意郵件給學校同仁。
  • 郵件主題多為聳動標題、公務資訊、結合時事新聞、財金、健康、打折優惠促銷活動…等吸引人注意力、好奇心及混淆人心之事件。
  • 請勿好奇將可疑郵件轉寄至校外信箱開啟,因為測試信內含受測者的資訊,開啟一樣會被記錄。
  • 同仁若開啟上述信件或點閱其附件,則視為演練失敗。
  • 社交工程演練失敗教育部將來函要求本校提出改善方式與稽核成效。
     

 

瀏覽數: