收藏
下载资源 加入VIP免费专享

社交工程与恶意邮件防制.ppt

上传人:本田雅阁 文档编号:2665630 上传时间:2019-05-02 格式:PPT 页数:45 大小:901.51KB
返回 下载 相关 举报
社交工程与恶意邮件防制.ppt_第1页
第1页 / 共45页
社交工程与恶意邮件防制.ppt_第2页
第2页 / 共45页
社交工程与恶意邮件防制.ppt_第3页
第3页 / 共45页
社交工程与恶意邮件防制.ppt_第4页
第4页 / 共45页
社交工程与恶意邮件防制.ppt_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《社交工程与恶意邮件防制.ppt》由会员分享,可在线阅读,更多相关《社交工程与恶意邮件防制.ppt(45页珍藏版)》请在三一文库上搜索。

1、社交工程與惡意郵件防制,楊峻榮 yangmail.ncku.edu.tw 2012/05/29,大綱,什麼是社交工程 惡意郵件解析 惡意郵件防制 教育部-惡意郵件攻防演練,2,什麼是社交工程,3,4,什麼是社交工程,社交工程(Social Engineering),是以影響力或說服力來欺騙他人以獲得有用的資訊或達到其目的,這是近年來攻擊者常用之攻擊手法之一。 利用人性的弱點進行詐騙,是一種非全面技術性的資訊安全攻擊方式,藉由人際關係的互動進行非法行為。 現有技術上之軟硬體安全防護系統難以防制。 等同於社會上之詐騙手法(如詐騙電話)。,社交工程可應用之弱點,助人的天性 同情心 貪念 好奇心 怕麻

2、煩 缺乏警覺 過於相信別人,5,6,社交工程常應用之題材,政治 色情 休閒養生 贈品、抽獎 愛心捐獻 影音媒體 業務職務相關 系統管理,社交工程常用攻擊方法,在電子郵件內含惡意內容 惡意連結 惡意程式 以電子郵件詐騙帳密及個資 網路釣魚網站 傳送之圖片中含惡意內容 即時通詐騙,7,網路釣魚(Phishing),常見的社交工程,以惡意連結進行攻擊,運用各種人性弱點吸引使用者連結至phishing網頁 一般是利用email來引誘連結,利用下列方式讓受害者不易查覺: 近似網址 http:/ http:/ 偽造網頁:製作與原來完全一樣的頁面,以騙取重要的相關資訊。 其目的為: 廣告目的(不斷開啟惡意廣

3、告) 攻擊目的(植入後門程式) 金錢目的(詐騙行為) 竊取帳號密碼與個人資料,8,9,釣魚郵件手法輕易突破資安系統,10,網釣魚手法與技術,社交工程詐騙例My Card,兩階段循環式社交工程。 第一階段詐騙: 先製作釣魚網頁以收集MSN帳號、密碼。 先由遭破解之MSN帳號登入,以“衝人氣”為由, 誘導受害者A點連結假登入網頁,以騙取帳號密碼。 第二階段詐騙: 用盜取到的受害者A之MSN帳號上線後,針對MSN帳號裡的朋友進行詐騙。 詐騙方式是要受害者B幫他去超商買My Card的點數,買好之後幫他開卡。 由於MSN上的好友名單通常都是好朋友或親人,既然是好友親人開口,大概都很少會拒絕或起疑。 M

4、SN非端點對端點連線,故不易追查詐騙者。,11,惡意郵件解析,12,13,惡意郵件種類,廣告信件 廣告信件除了浪費使用者時間外,至少不會產生直接且立即的危害 。 防制機制:Anti-Spam 。 病毒信件 雖然病毒程式對於電腦系統會產生實質破壞,然而藉助於防毒軟體技術的進步,目前電腦病毒的威脅對於一般已安裝防毒軟體的使用者而言,屬於可控制的風險。 防制機制:防毒軟體 釣魚(Phishing)信件 目前最流行的釣魚目的,多是以竊取使用者資料並且實質獲利為主。 防制機制:安全意識與概念。 木馬(Trojan)信件 木馬程式,因為屬於主動式攻擊行為,一旦電腦遭受入侵,立即面臨資料外洩風險。 防制機制

5、:防毒軟體 。 網頁綁架 點選郵件中惡意連結後,瀏覽器首頁遭置換或自動彈跳出廣告或不雅頁面。 防制機制:防間諜軟體 。,電子郵件社交工程的攻擊步驟,有心人在電子郵件內放置惡意程式或連結 將信件寄給特定或不特定對象 收件者開啟信件 啟動或下載惡意程式 輸出收件者資料,14,15,詐騙信件-1,Dear Account User, This message is from webmail messaging center to all webmail account owners. We are currently upgrading our data base and e-mail accoun

6、t center. We are deleting all unused webmail account to create more space for new accounts. To prevent your Account from closing you will have to update it by providing the information requested below: Confirm Your Account Details Webmail ID: Password: DOB: You will be sent a new confirmation alphan

7、umerical password so that it will only be valid during this period and can be changed after the process. Thanks for your understanding. Webmail Administrator. Warning! Account owner that refuses to update his or her account within seven days of receiving this warning will lose his or her account per

8、manently.,16,詐騙信件-2,-Original Message- From: Spam security Customer Service mailto:XXXXXmail.ncku.edu.tw Sent: Thursday, May 13, 2010 3:55 AM To: xxxxxmail.ncku.edu.tw Subject: Your e-mail will be blocked Your e-mail will be blocked within 48 hours for a spam if it was an error, please open the atta

9、ched file Thank You. Spam security Customer Service,17,詐騙信件-3_1,http:/www.kollerit.ch/uploads/tx_ablinklist/ncku.htm,18,詐騙信件-3_2,詐騙信件-3_3,19,詐騙信件-4,注意。 你的郵箱有限制的存儲,10GB 超過管理員設置的,你是目前10.9GB 您可能無法發送或接收新的電子郵件,以 他們重新驗證您的郵箱。 重新檢查您的郵箱,請點擊 下面的鏈接: http:/www.coalvalleydays.org/forms/use/signup/form1.html 如果上面

10、的鏈接不起作用,請複製 並粘貼到您的瀏覽器窗口下面的鏈接 http:/www.coalvalleydays.org/forms/use/signup/form1.html 謝謝 系統管理員,20,惡意郵件防制,21,惡意郵件防制之道,基本要求 電腦基本安全機制 讀取信件之基本概念與警覺性 依需求 郵件安全設定 進階 表頭及來源分析,22,電腦基本安全機制,提供安全環境,在不慎開啟惡意附件或點選惡意連結時,仍可能降低危害。 安裝防毒軟體,確認定期更新定義碼,並且定時進行全機掃瞄。 安裝防間諜程式軟體( Microsoft Windows Defender 、 Lavasoft Ad-Aware

11、),確認定期更新定義碼,並且定期進行全機掃瞄。 定期執行Windows update與office update,並且更新瀏覽器版本,避免因為軟體先天缺陷造成的安全漏洞。,23,讀取信件要領,先確認寄件者。 是否為您認識的人或業務需要。 確認郵件主旨。 是否為奇怪的主旨, 或與寄件者不搭的主旨。 確定郵件內容是否與寄件者或主旨有關 確定郵件內容是否得宜。 例如是否得提供個資料機敏資料。 是否非得開啟附件或點選連結。 是否須向寄件者確認。,24,讀取信件注意事項,寄件者是很容易假冒的,若發覺信件內容與寄件者之前所寄的內容差異大時,請向寄件者詢問(例如此寄件者原先都寄中文信,而收到其英文信) 。

12、來路不明之信件不予理會,直接刪除或避免按照信件內容指示行事,也不要開啟附加檔案,以免導致中毒或資料外洩。 遇到任何要求提供密碼或個人資訊的情況,請勿理會。本中心或mail系統之管理者決不可能要求使用者以mail方式回覆密碼。 若要求提供資料之信件,可先詢問承辦單位是否屬實,且不用該信件或網頁提供之查詢資訊 。 天上很難掉下來禮物,愈好康的信件愈有問題,例如點選連結或回信即可得到禮物。 要發揮愛心前,也需事先查證,例如某某組織需要善心捐款。 點選信件內附之網頁連結前,請再三確認該連結是否有異狀。例如網址之domain看起來很怪異或是網址使用 IPaddress。 看似無害之信件也儘可能不要開啟,

13、如廣告信件。 儘量不要點選不明信件中的連結網址,最好自己輸入,以免被偽造的網址所欺騙。 如果已不小心將密碼寄出或懷疑密碼已遭他人取得,請盡速更改密碼。 若來信有疑,無法確認是否為惡意信件,可來電詢問(校內分機61016),或將該信件另存新檔後以附加檔方式寄至yangmail.ncku.edu.tw。,25,關閉信件預覽功能,下列方式將只顯示信件主旨及寄件者,欲開啟者再黠選 Windows Live Mail 選取【檢視】【版面配置】 不勾選【顯示預覽窗格】 Outlook express 選取【檢視】【版面配置】 不勾選【顯示預覽窗格】 Outlook 2010 選取【檢視】 【讀取窗格】 選

14、擇【關閉】 Outlook 2007 選取【檢視】 【讀取窗格】 選擇【關閉】,26,以純文字開啟信件,開啟信件也不會執行隱藏之程式(較不人性) Windows Live Mail 選取【工具】【選項】【讀取】 勾選【在純文字中讀取所有郵件】 Outlook express 選取【工具】【選項】【讀取】 勾選【在純文字中讀取所有郵件】 Outlook 2010 選取【檔案】【選項】【信任中心】【信任中心設定】【電子郵件安全性】 勾選【以純文字讀取所有標準郵件】 Outlook 2007 選取【工具】【信任中心】【電子郵件安全性】 勾選【以純文字讀取所有標準郵件】,27,關閉自動下載圖檔,Win

15、dows Live Mail 選取【工具】【安全性選項】【安全性】 勾選【阻擋HTML電子郵件中的圖片和其他外部內容】 Outlook express 選取【工具】【選項】【安全性】 勾選【阻擋HTML電子郵件中的圖片和其他外部內容】 Outlook 2010 選取【檔案】【選項】【信任中心】【信任中心設定】 【自動下載】 勾選【不自動下載HTML電子郵件訊息或RSS項目中的圖片】 Outlook 2007 選取【工具】【信任中心】【信任中心設定】 【自動下載】 勾選【不自動下載HTML電子郵件訊息或RSS項目中的圖片】,28,29,Check可疑信件,檢查信件內容 信件內容、連結、附加檔名

16、檢查表頭 Check原始出處 Check Reply-To 使用nslookup命令 Check Domain name - IP address 配合 whois,30,查看信件表頭,Outlook Express 由信件列表選取該信件按右鍵 選取 內容詳細資料郵件原始檔 WebMail(OpenWebMail) 由信件列表點選取該信件 列出信件內容時按完全表頭,mail 表頭的欄位,Return-Path: 此一欄位的e-mail address是由寄信的client在MAIL FROM:指令中傳送的senders e-mail address。 Delivered-To 收件者email

17、_address Received: 郵件傳送過程中所經過的SMTP server(mail servers),因此可能好幾欄,其傳送順序為由下往上。 From:, To: 這兩個欄位,是一般郵件閱讀軟體所顯示的 “寄信者” 及 “收信者”,也就是如傳統信紙上的寄件者及收件者 這兩個欄位只是提供資訊給郵件閱讀郵件程式參考,和信件的傳遞是沒有關係的。 Reply-To 回信時之接收者Email address Subject: 信件主旨。 Date: 發信者發出信件的時間點,此欄位僅供參考,並不能作為重要依據。,31,32,以郵件軟體(OE)寄出之表頸,Return-Path: X-Origin

18、al-To: yangmail.ncku.edu.tw Delivered-To: yangmail.ncku.edu.tw Received: from ms8.cc.ncku.edu.tw (ms8.cc.ncku.edu.tw 127.0.0.1) by ms8.interscan (Postfix) with ESMTP id 8E43C17FF6 for ; Thu, 30 Apr 2009 01:00:29 +0800 (CST) Received: from mailgate2.ncku.edu.tw (gateway2.ncku.edu.tw 192.168.1.202) by

19、 ms8.cc.ncku.edu.tw (Postfix) with ESMTP id 5DB3818001 for ; Thu, 30 Apr 2009 00:31:52 +0800 (CST) Received: from csie.ncku.edu.tw (140.116.247.2) by mailgate2.ncku.edu.tw (envelope-from ) (Mailgate1 with TLS) with ESMTP id 1224315827; Thu, 30 Apr 2009 00:31:57 +0800 Received: from 140.116.78.120 (a

20、lumni.es.ncku.edu.tw 140.116.78.120) by csie.ncku.edu.tw (8.13.8+Sun/8.13.7) with ESMTP id n3TGRQJq003818 for ; Thu, 30 Apr 2009 00:27:42 +0800 (CST) To: yangmail.ncku.edu.tw From: =?big5?B?pqikaqR1rOyk5bHQsPKq97d8IA=?= Reply-To: =?big5?B?pqikaqR1rOyk5bHQsPKq97d8IA=?= Subject: =?big5?B?pHWs7Kh0pM3Cv

21、rd+wXC9y7d8Lbx4pH7Fb6FJJiM4MjA3Ow=?= Date: Thu, 30 Apr 2009 01:07:33 +0800 X-LibVersion: 3.3.2,33,以webmail寄信之表頭-1,X-Symantec-TimeoutProtection: 0 Return-Path: X-Original-To: yangmail.ncku.edu.tw Delivered-To: yangmail.ncku.edu.tw Received: from ms7.cc.ncku.edu.tw (ms7.cc.ncku.edu.tw 127.0.0.1) by ms

22、7.interscan (Postfix) with ESMTP id 13317B89102 for ; Wed, 6 May 2009 11:52:20 +0800 (CST) Received: from (127.0.0.1) by ms7.cc.ncku.edu.tw (InterScan E-Mail VirusWall Unix); Wed, 06 May 2009 11:52:20 +0800 (CST) Received: from mailgate2.ncku.edu.tw (gateway2.ncku.edu.tw 192.168.1.202) by ms7.cc.nck

23、u.edu.tw (Postfix) with ESMTP id E6051B890F9 for ; Wed, 6 May 2009 11:52:19 +0800 (CST) Received: from ms13.ncku.edu.tw (192.168.1.13) by mailgate2.ncku.edu.tw (envelope-from ) (Mailgate1) with ESMTP id 1757683983; Wed, 06 May 2009 11:52:19 +0800 Received: from mail.ncku.edu.tw (ms13.ncku.edu.tw 127

24、.0.0.1) by ms13.ncku.edu.tw (Postfix) with ESMTP id 40BA614F0CAA for ; Wed, 6 May 2009 11:52:19 +0800 (CST) From: “testmail“ To: yangmail.ncku.edu.tw,34,以webmail寄信之表頭-2,Return-Path: X-Original-To: yangmail.ncku.edu.tw Delivered-To: yangmail.ncku.edu.tw Received: from ms8.cc.ncku.edu.tw (ms8.cc.ncku.

25、edu.tw 127.0.0.1) by ms8.interscan (Postfix) with ESMTP id 999AC17FC4 for ; Wed, 29 Apr 2009 21:10:53 +0800 (CST) Received: from mailgate1.ncku.edu.tw (gateway1.ncku.edu.tw 192.168.1.201) by ms8.cc.ncku.edu.tw (Postfix) with ESMTP id 81C1C17FB8 for ; Wed, 29 Apr 2009 21:10:53 +0800 (CST) Received: f

26、rom (203.188.201.22) by mailgate1.ncku.edu.tw (envelope-from ) (Mailgate1) with ESMTP id 943006835; Wed, 29 Apr 2009 21:10:57 +0800 Received: (qmail 95264 invoked by uid 60001); 29 Apr 2009 13:10:57 -0000 Received: from 163.29.61.252 by via HTTP; Wed, 29 Apr 2009 21:10:57 CST X-Mailer: YahooMailCl

27、assic/5.2.20 YahooMailWebService/0.7.289.1 Date: Wed, 29 Apr 2009 21:10:57 +0800 (CST) From: =?big5?B?tL+m0MJF?= Subject: =?big5?B?RlehRyCyxKRAprinQLd+?= To: yangmail.ncku.edu.tw,35,得知郵件內連結之內容(OE),36,得知郵件內連結之內容(WebMail),37,Domain name與IP 查詢,Check 連結連結之Domain name為何IP address(校內為140.116.XX.XX) 雖為校內IP

28、 address,但也有可能是該主機中毒或遭入侵而發惡意信件 開始/所有程式/附屬應用程式/命令提示字元 鍵入 nslookup命令後, 輸入欲查詢的 Domain name 或IP address。,教育部-惡意郵件攻防演練,38,本年度惡意郵件攻防演練時程,提報演練名單:5月(各機關學校提報行政人員郵件名單)。 各機關學校辦理教育訓練:5月(全部行政人員)。 進行第1次演練:6月。 各機關學校辦理再教育訓練:8月至9月(開啟、點閱惡意郵件之人員)。 進行第2次演練:10月。,39,提報名單,email.ncku.edu.tw之個人帳號,即zxxxxxxx,共1783筆 提報資料並含單位姓名

29、,40,41,攻防演練內容,郵件主題分為政治、公務、健康養生、旅遊等類型,郵件內容包含連結網址或word附檔。 由技術小組以偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象,當收件人開啟郵件或點閱郵件所附連結或檔案時,應留下紀錄,俾利後續統計惡意郵件開啟率及點閱率。 惡意郵件開啟率: 開啟惡意郵件之人數 / 參演人數。 惡意郵件點閱率: 點閱惡意郵件所附連結或檔案之人數 / 參演人數。 惡意郵件開啟下降率: (本年度惡意郵件開啟率比較基準) / 比較基準 原則上,比較基準為前年演練之惡意郵件開啟率。 惡意郵件點閱下降率: (本年度惡意郵件點閱率比較基準) / 比較基準 原則上,比較基準為前年演練之惡意郵件點閱率。,99/上教育部電子郵件演練信件內容,42,99/下教育部電子郵件演練信件內容,43,攻防演練因應之道,如上章節惡意郵件防制所描述之方式。 儘可能關閉信件預覽或使用Webmail讀信 非得開啟信件預覽,設定為文字模式(OE等mail client及Webmail皆可設定。 不讀取非來自本校且非職務上之訊息。 本次提報名單含單位姓名,故演練信件內容可能含此資訊。 若有可疑信件,請洽61016。,44,Q &A,45,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1