資料來源:資拓宏宇國際有限公司
113年度下半年社交工程演練預計113年10月開始。
社交工程是什麼?
•在資訊安全的背景下, 社交工程是對人們進行心理操縱以執行操作或洩露機密訊息,是一種以資訊收集、欺詐或系
統訪問為目的詐騙伎倆。 它不同於傳統的“騙局”,因為它通常是更複雜的欺詐計劃中許多步驟之一。
•它也被 定義為「影響一個人採取 可能符合也可能不符合 其最佳利益行動的任何行為」。
•社交工程的例子是在大多數需要登錄的網站上使用「忘記密碼」功能。安全性不高的密碼恢復系統可用於授予惡意
攻擊者對用戶帳戶的完全訪問權限,而原始用戶將無法訪問該帳戶。
為什麼進行社交工程演練?
•駭客偏好利用 社交工程 滲透單位網路,成功機率高,使用者不易發現,風險不容輕忽 。
•模擬駭客寄送各種誘騙的測試信件,嘗試誘騙受測者並測試受測者之警覺性, 瞭解受測者資安意識的落實狀況,對社交工程、網路釣魚等誘騙攻擊行為的防護與警覺能力。
•使用者良好的使用習慣與有效的管理措施 才能避免此類風險 。
常見可疑電子信件特徵
•非業務相關或非平時有業務往來信件 。
•陌生人或少往來對象來信 。
•認識的人來信,但來自 奇怪的 email 位址 或 信件主旨、內容與其習性不符 。
•署名政府機關,或附加檔案名稱及內文看似乎是公務信件,但 由非 政府機關網域 .gov.tw (如 gmail yahoo,pchome hinet 等 寄出 。
•過於聳動的主旨與緊急要求 。
•不正常的發信時間 。
•信件內文 含簡體字或大陸用語 。
•要求輸入私密資料 如身份證號、帳號、密碼 送出 。
•附加檔案有開啟密碼 且密碼可見於郵件本文 。