何謂電子郵件社交工程 
電子郵件社交工程手法
 電子郵件社交工程之防
 教育部年度演練計畫

  何謂電子郵件社交工程
「社交工程」是指利用人性弱點，哄騙他人提供個人資料（如密碼）的伎倆，而這種伎倆足以危及系統的安全。

非法電子郵件有時會看似來自真確的寄發來源，藉此騙取個人資料或敏感資料。此類侵害通常稱為「社交工程攻擊(Social Engineering Attack)」，具體地說，就是「仿冒詐騙(Phishing)」。


 電子郵件社交工程手法
‧假冒寄件者
‧讓人感興趣的主旨或內文
‧帶有惡意內容
‧惡意附件
‧惡意JavaScript
‧惡意連結

 

 網路文官學院

網址：http://elearning.nat.gov.tw/
資訊安全類｜資安案例分享－email 社交工程及防護

 假冒寄件者

 讓人感興趣的主旨或內文

 含有惡意程式的附件

 含有惡意JavaScript

 網路釣魚-含有惡意連結

最常見的手法，是駭客架設幾乎與官方公司一模一樣的網站，再透過電子郵件告知使用者資料過期、無效需要更新，或者是基於安全理由進行身分驗證等的理由，騙取個人連線上假冒的網站，進而取得帳號與密碼。

 電子郵件社交工之防護
‧分辨電子郵件的真偽
‧分析顯示名稱與電子郵件帳號，檢查寄件者是否正確
‧分析郵件主旨與附件
‧不開啟非公務相關的附件以及郵件
‧不開啟任何寄件者沒有事先知會的附件
‧不要顯示外部img
‧不要點選信件中的連結

 檢查寄件者是否正確

  Mail 2000之封鎖img設定(1)

(2) Mail 2000之封鎖img設定

(3) 取消預覽-使用[分割模式]或[整頁模式]

(結果) Mail 2000之封鎖img

 Outlook Express封鎖img設定(1)

(2) Outlook Express封鎖img設定

(結果) Outlook Express封鎖img

 教育部年度演練計畫

 ‧3~4月進行電子郵件社交工程教育訓練
‧5月進行上半年演練
‧6~8月針對上半年演練結果進行加強教育訓練
‧9月進行下半年演練
‧10月針對下半年演練結果進行加強教育訓練

 演練目的

為提高教育機構教職員工警覺性以降低社交工程風險，本測試目的即是藉由模擬駭客寄送各種誘騙信件的手法，測試教職員點選各類誘騙信件的比率。以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。

  演練測試方式

針對每位受測人員寄發 5~10 封不同內容測試測試信件進行統計分析作業，統計受引誘而開啟信件或點選信件內之附件或網頁連結之數量及比率。

測試作業之測試信件寄件人名稱，均為偽造，用來測試受測人對寄件人名稱是否合理的辨識能力。

 測試信件主題(範例)