资讯安全宣导

資訊安全宣導建德國小電腦教室2008年12月17日討論主題網路釣魚網頁掛馬殭屍電腦社交工程網路釣魚什麼是網路釣魚？網路釣魚是駭客仿冒知名公司網站，架設神似的假網頁，誘騙使用者登入假網站輸入個人資料。你能分辨真實網站與釣魚網站嗎？防身秘訣勿用電子郵件內提供的超連結，以自己輸入網址方式取代。收到要求輸入個人資料的電子郵件時，一定要和原公司求證，以減少被騙機會。網頁掛馬調查局發現，香港某藝人的私密照片下載網站，竟然暗藏木馬程式。調查局表示，即使在Yahoo或Google所查到的資料，一樣有可能被植入木馬程式，呼籲民眾勿隨意點選相關主題的連結。(2008/2/19自由時報)什麼是網頁掛馬？「網頁掛馬」又稱為「網頁惡意掛馬」或「網頁隱藏式惡意連結」。指駭客攻擊竄改他人網頁，植入惡意連結或是自行設立惡意網站，民眾一旦連上該網站，就被植入木馬程式，竊取個人電腦中的資料或檔案。它和釣魚網站的不同之處是，釣魚網站是建置一個以假亂真的仿冒網站，來騙取民眾的資料。防身秘訣對於電子郵件中或網頁上所提供的連結，要小心謹慎。傳送個人資料前，確定造訪網站是安全的，例如分辨網址開頭是否為https://，而不是http://。安裝防毒軟體與防火牆，並定期更新。殭屍電腦受到殭屍病毒（BotNet）感染的主機，會猶如殭屍般任由駭客控制，上網連線速度會突然變慢。駭客會以遠端控制受感染的主機，進行網路攻擊，包括竊取私密資料、散佈垃圾郵件、發動阻斷式服務等網路犯罪行為。防身秘訣不開啟任何來路不明的磁片、光碟、email的附加檔，尤其是不認識的人寄來的電子郵件附加檔。不能心存僥倖，電腦一定要安裝防毒軟體，因惡意軟體變化日新月異，病毒碼也要時時更新。社交工程社交工程，英文為SocialEngineering，社交工程就是一種利用人性弱點的詐騙技術，藉由與人之間的互動而形成的犯罪行為。它避開了嚴密的資通安全技術防護，是非常難以防範的攻擊模式。打電話至A公司騙取詢問到有使用B機器，再前往A公司，假裝是來維修B機器，而順利混入A公司內部。請問這種詐騙方式稱為什麼？A：詐欺B：社交工程C：剽竊D：拉關係應用社交工程的各種攻擊方法除了利用電話詐騙之外，常見的社交工程攻擊還包括︰（1）電子郵件隱藏電腦病毒駭客利用社交工程的概念，將病毒、蠕蟲與惡意程式等隱藏在電子郵件中，這些看似朋友所寄來的郵件，卻是應用社交工程的電子郵件陷阱（2）網路釣魚有一種偽裝知名企業或機關單位寄發的電子郵件，通知收件人必須重新驗證密碼或登入某網址輸入個人資料等，這種詐騙稱為網路釣魚。收件人若無小心求證而連結了郵件中的鏈結，可能就下載了惡意程式；或者在假網頁上輸入了帳號密碼或信用卡資料等，造成銀行戶頭被盜領或盜刷等的嚴重後果，這是近年來造成個人與企業極大損害的犯罪手法，而網路釣魚就是一種典型的社交工程攻擊。（3）圖片中的惡意程式明星或色情圖片也是許多惡意程式慣用的社交工程技巧之一，這些都是利用使用者的好奇心來散佈惡意程式，之前Sobig網路病毒出現在某個含有色情內容的網路討論群組，網友點選了其中像是裸照的內容就會感染病毒，而該病毒總共導致了約10億美金的損失。（4）偽裝修補程式另一種社交工程的欺騙手法，就是偽裝成微軟的修補更新程式，因為一般使用者不會覺得這是來路不明的程式，卻沒有防範社交工程也會利用這個漏洞，而將惡意程式隱藏其中。使用者若安裝了這個檔案，不但不會修補作業系統的任何漏洞，還可能被安裝了遠端竊取資料的木馬程式。（5）即時通也是社交工程新途徑近年來，社交工程傳播惡意程式的途徑擴大至即時通訊軟體，如MSN、ICQ、YAHOO即時通、QQ等。2005年2月，一個使用MSN大量散播的病毒造成嚴重災情，這個電腦病毒會利用MSN自動傳檔給MSN連絡人上的朋友，亞洲各國皆傳出災情，包括台灣的案例也有千起以上。總結社交工程其實就是一種利用人性弱點的詐騙技術，它避開了嚴密的資通安全技術防護，是一種非常難以防範的攻擊模式，只有具備高度的危機意識及警覺心，才能減少社交工程攻擊傷害。