瀏覽位置:首頁 / 資安規範 / 社交工程

社交工程 | social engineering

社交工程

何謂「社交工程」(social engineering)

所謂「社交工程」,就是詐騙!透過電話、電子郵件等方式偽裝身份誘騙您上勾受騙… 定義: 社交工程是利用人性的弱點進行詐騙,是一種非「全面」技術性的資訊安全攻擊方式,藉由人際關係的互動進行犯罪行為。(科學發展2011年5月,461期) 舉例說明:

  1. 1.利用人與人之間的關係,偽使用者信任來源,例如家人、同事、長官….等等。
  2. 2.偽裝成可信任的寄件者發送夾雜病毒的e-mail,當使用者對信件判斷為可信任來源時,
  3. 3.戒心的下降打開信件附檔,造成了開啟復健後木馬病毒順利植入的情況。
  4. 4.有時病毒不見得只在復健的執行檔中,有時會夾雜於文件、圖檔甚至影音檔中,讓使用者防不勝防。

常見的社交工程攻擊手法:

  1. 1.除了電話之外,常見的社交工程攻擊還包括︰
  2. 2.電子郵件隱藏電腦病毒
  3. 3.網路釣魚
  4. 4.偽裝工具程式
  5. 5.即時通也是社交工程新途徑

教育部實施社交工程演練(今年為2024年4月1日~2024年12月31日)

測試目的

為提高教育機構教職員工警覺性以降低社交工程風險,本測試目的即是藉由模擬駭客寄送各種誘騙信件的手法,測試教職員點選各類誘騙信件的比率,以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。

演練測試方式

針對各演練對象之受測人員寄送 5 封社交工程演練郵件(郵件型態以偽冒公務、個人或公司行號等名義,發送社交工程演練 郵件給受測人員,郵件主題分為八卦、休閒、保健、財經、新奇、時事、模擬實際社交工程樣本等類型,郵件內容包含連結網址或附檔)。統計受引誘而開啟信件或點選信件內之附件或網頁連結之數量及比率。測試作業之測試信件寄件人名稱,均為偽造,用來測試受測人對寄件人名稱是否合理的辨識能力。

目標值

(一)社交工程郵件開啟率:各次演練作業,各演練對象應低於 10%(含)。
(二)社交工程郵件點閱率:各次演練作業,各演練對象應低於 6%(含)。

針對社交工程和資安的通識教育,我們每年都會至少舉辦一次教育訓練,請大家積極參與。詳細內容可參考本校:社交工程演練專頁

防社交工程的手法日新月異,很難一言道盡。最簡單的應對方式就是:,
1.不認識的寄件者來函, 不要隨意開啟
2.與自己業務無關的信件, 不要開啟
3.寄件者雖然是認識的人, 但是寄件地址跟以往不同, 開啟前先確認
4.取消收信的媒體之郵件預覽功能

防範方法及教育部演練訊息:

項目 主旨
【社交工程演練】113年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】112年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】111年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】110年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】109年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】108年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】107年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】106年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】105年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程演練】104年度臺灣學術網路 防範惡意電子郵件社交工程演練服務計畫.pdf
【社交工程宣導】電子郵件社交工程宣導影片
【社交工程宣導】社交工程電子郵件防範教學(以Microsoft Outlook及OutlookExpress為例).pdf