1020807电子邮件暨骇客社交工程攻击与防御(第二场) - 资讯处.ppt

.tw .tw .tw .tw * * 102年08月7日 大　綱 學校的資安政策 Facebook 免費社群網站 何謂社交工程 何謂網路釣魚 電子郵件詐騙案例分析及安全管理 * 請尊重及保護智慧財產權 學校的資安政策 目的： 為使所屬資訊資產的機密性、完整性及可用性運作管理符合相關法規，防範內、外部蓄意或意外威脅的影響。 範圍： 資訊安全管理涵蓋11項管理事項，避免因人為疏失、蓄意或天然災害等因素，導致資料不當使用、洩漏、竄改、破壞等情事發生，對本校帶來各種可能之風險及危害。 * 1.資訊安全政策訂定與評估 2.資訊安全組織 3.資訊資產分類與管制 4.人員安全管理與教育訓練 5.實體與環境安全 6.通訊與作業安全管理 7.存取控制安全 8.系統開發與維護之安全 9.資訊安全事件之反應及處理 10.業務永續運作管理 11.法規與施行單位政策之符合性 請尊重及保護智慧財產權 學校的資訊安全組織： 資訊安全委員會置「資訊安全長」一人，目前「資訊安全長」由行政副校長擔任之。 * 請尊重及保護智慧財產權 學校的資安政策 Facebook * 請尊重及保護智慧財產權 你今天Facebook了嗎？ Facebook 我的朋友？ Facebook 我的個資？ Facebook 我的隱私？ Facebook帳號10個安全祕技 * 請尊重及保護智慧財產權 安全祕技一：檢查帳號有無異常活動情形。 檢查「活動紀錄」如果你某個時間根本不在臉書上，卻冒出好多不是你做過的事，那你就要小心，是不是有人登入過你的帳戶。 安全秘技二：發現問題時立即變更密碼。 檢查帳號有無異常活動紀錄時發現問題，請立即進入 Facebook 的「帳號設定」功能，變更一個新的密碼。 安全秘技三：檢查帳號是否被異常裝置登入。 帳號設定?帳號保安?認可的裝置，列出使用那些裝置登入。 安全秘技四：檢查帳號是否有異常連線。 帳號設定?帳號保安?有效的連網，列出目前登入、或是曾經登入過你 Facebook 帳號的階段。 Facebook帳號10個安全祕技 * 請尊重及保護智慧財產權 安全祕技五：使用安全加密連線（https）瀏覽 Facebook。 帳號設定?帳號保安?安全瀏覽，啟用加密安全瀏覽模式。 安全秘技六：當不明人士登入你的帳號，自動寄送通知。 帳號設定?帳號保安?開啟「登入通知」，當有人從你不曾使用過的電腦或手機登入你的帳號時，Facebook 就會以這些方式來通知你。 安全秘技七：開啟「兩步驟認證」，使帳號需輸入安全密碼才能登入。 帳號設定?帳號保安?登入許可，開啟「要求 1 個安全密碼，讓我從未知的瀏覽器進入我的帳號」。 Facebook帳號10個安全祕技 * 請尊重及保護智慧財產權 安全祕技八：使用代碼產生器產生安全碼。 帳號設定?帳號保安?啟用「代碼產生器」。可使用智慧型手機來完成。 安全秘技九：使用「應用程式密碼」來取代登入密碼。 帳號設定?帳號保安?應用程式密碼，如果沒有很必要，其實不一定要使用。「應用程式密碼」就是為個別的應用程式來產生登入 Facebook 的密碼。 安全秘技十：設定至少 3 位信賴的聯絡人。 帳號設定?帳號保安?信賴的聯絡人，當你無法存取帳戶時（例如被入侵、密碼被改、忘記密碼等等），可以透過你預先設定的信賴的聯絡人，讓信任的好友協助你恢復 Facebook 帳號。 Facebook打卡好不好？！ * 請尊重及保護智慧財產權 新聞：臉書打卡露餡　債主闖咖啡廳強押人。 被害人因為生日到咖啡廳打卡，從臉書上暴露自己的行蹤。 新聞：打完卡外出買早餐 車禍不算職災。 勞保局說，打卡後買早餐，不能算是公務，但如果在打卡前出意外，都能算是職業災害。 新聞：循臉書打卡 警追回失蹤少女。 警方訪查少女好友，從少女友人臉書打卡紀錄找到離家少女。 打卡 = 告訴大家你人在那裡 何謂社交工程 * 請尊重及保護智慧財產權 社交工程 (Social Engineering) 為利用人性的弱點進行詐騙，是一種非”全面”技術性的資訊安全攻擊方式，藉由人際關係的互動進行犯罪行為。 駭客通常由電話、Email或是假扮身份，問些看似無關緊要的問題等各種方法來進行社交工程。 利用人性的弱點 * 請尊重及保護智慧財產權 以人為本，騙術為主????利用人際關係的互動進行的詐騙。 技術門檻較低????使用的方法並不是依靠資訊技術。 貪心????撿便宜的心理。 好奇????想要一探究竟的心理。 缺乏警覺????應該沒關係吧？ 何謂網路釣魚 * 請尊重及保護智慧財產權 網路釣魚 (Phishing，唸法與 fishing 相同) 是一種網路詐騙手段，詐欺犯利用這種手段誘使您洩露個人資料。 網路釣魚