资安防护-高雄大学图书馆.PPT

MSN社交工程漸取代電話詐騙 非本人所傳的連結，帳號密碼已遭盜用 惡意使用者 受害者 即時通好友 傳送惡意程式 取得帳號密碼 偽裝受害者進行詐騙 商店 購買有價點數 傳回點數 2010年11月 台北一位施小姐在上班時收到駭客冒用友人MSN帳號傳訊，請她到便利商店代購MyCard點數。由於駭客熟知原帳號者詳細的個人資料，包括人在國外等資訊，施小姐和駭客聊天完全沒感覺可能是冒充，因而損失了新台幣7000元；後經查證，才發現是詐騙 新聞來源:?中央社 隨時更新即時通軟體 多一分求證 事涉金錢交易時，務必再以電話與當事人確認 遇到MSN異常情形，最快的解決方式是選擇別台沒有被植入木馬程式的電腦，趕快更換密碼 進入Windows Live 更改密碼 / 利用合法網站本身的漏洞 置入幾可亂真的網頁頁面(置換網頁 Defacement) 或藉由知名網站廣告，連結惡意網頁 以誘騙使用者輸入帳號、密碼及信用卡資料為主要目的 常見的手法有[近似]及[延伸] 近似範例：→ 財務損失 2006年美國企業估計每年損失20億美元 2007年美國估計損失約32億美元 2011年五月本校某系案例 網站管理人員疏於管理 網站遭植入釣魚頁面，騙取使用者銀行帳號、密碼 系辦對私架伺服器無法掌控，無法在第一時間聯絡網站管理人員 相關人員無資安意識 延宕處理流程 教育部列為資安事件 使用不同瀏覽器區隔網路連線 需同時瀏覽重要網站與一般網站時，可使用不同瀏覽器區隔各項連線 運用不同瀏覽器間的Cookie管理差異，避免攻擊 提高瀏覽器安全等級設定 使用者可依自身需求設定瀏覽器安全等級 高安全性的設定可防止JavaScript執行 瀏覽歷程及Cookie要定時清除 注意不明要求輸入資料之視窗 注意網址列的內容 Cross-Site Scripting 攻擊原理 駭客利用Web網頁裡搭配JavaScript程式插入惡意的html代碼，當使用者在瀏覽網頁時，這個惡意的代碼就會被執行並隨著回應訊息時，感染給使用者 駭客 網頁主機 使用者 插入惡意代碼 瀏覽網頁 感染 主機被綁架控制 使用不同瀏覽器區隔網路連線(同前) 提高瀏覽器安全等級設定(同前) 軟體隨時更新 作業系統、瀏覽器及應用軟體更新至最新版本，同時執行漏洞修補 防護系統更新 防護系統(含病毒碼)更新至最新版本 又稱惡意程式、流氓軟體 通常無立即性危害，以蒐集使用者重要、隱私之資料為主 一般病毒程式 像吃砒霜 通常立即發作 防毒軟體可偵測出來 黑心軟體 像吃了含塑化劑的食品 經過一段時間才見危害 防護軟體偵測不易 黑心防毒軟體（Fake Anti-Virus） 利用使用者的恐懼，透過網頁廣告、其他網站等誘導使用者下載安裝防毒軟體，但其實使用者下載的是惡意程式。 (圖片來源) 軟體更新 作業系統、瀏覽器及相關應用程式，保持良好更新習慣並同時執行漏洞修補。 不使用無版權軟體 無版權軟體可能隱含惡意程式，隨意使用可能暴露於風險之中。 注意下載來源 至官方網站下載軟體，可避免下載到含惡意程式的軟體。 主動 網頁遭竄改 磁碟空間快速減少 網路流量提高 系統存在不明帳號 不明的Process 被動 監控單位通知 駭客網站 / 中國黑站 密碼 不告訴任何人密碼 不寫下密碼 設定不易猜到的密碼 密碼要定期更換 軟體更新 隨時留意微軟作業系統及其他應用軟體更新功能 不使用盜版軟體 病毒 安裝防毒軟體並定期更新病毒碼 密碼強度 英、數字 替換技巧 0←→O, i ←→1 位移技巧 security ←→ecuritys Cookie 記錄與隱私權 透過設定瀏覽器的安全設定值來限制Cookie功能 不任意在從來沒有聽過、或第一次造訪的網站中填寫重要的個人資料或留下信用卡資料 公用存取 使用公共電腦時，特別留意坐或站在旁邊的人 絕對不勾選瀏覽器的「記住密碼」選項 使用公共電腦完畢離開前，應關閉網頁瀏覽器，若有登入網路服務（如電子郵件），應完成「登出帳號」動作後，再關閉瀏覽器。 盡量不在公共電腦中輸入敏感性高的資訊 若經常使用公共電腦，更換密碼的頻率要更高 間諜軟體 下載免費或共享軟體前，需仔細閱讀和有關的訊息 避免透過P2P程式或其他管道下載來路不明軟體 即時通訊軟體 不隨意接受透過即時通所傳遞來的檔案 不透過即時通傳遞個人資料，或重要的公司機密資料 安裝防毒軟體、防火牆 電子郵件 電子郵件夾帶副檔名.exe、.com、.bat等檔案，幾乎都是惡意程式，不要開啟 非公務郵件盡量別開啟 網路釣魚與網路詐騙 仔細辨視網址列上的網址 詐騙網頁常使用一些易混淆的字母來偽裝誘騙 不直接使用email所提供超連結，以輸入網址方式取代 不要因為好奇心任意點擊情色、聳動等標題的網址連結 凡事求證後才行動，