社交工程演練宣導

教育部社交工程演練

依資通安全事件通報及應變辦法第 8條與臺灣學術網路管理規範相關規定,教育部即日起將進行「防範惡意電子郵件社交工程」正式演練,提醒您切勿開啟不明郵件(即非公務電子郵件),並請預作準備。

 演練對象:全校教職員。

演練時程:期間辦理2次演練

測試目的:

為提高教育機構教職員工警覺性以降低社交工程風險,本測試目的即是藉由模擬駭客寄送各種誘騙信件的手法,測試教職員點選各類誘騙信件的比率,以強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識。 

演練測試方式 :

  1. 由教育部演練小組將偽冒公務消息、個人或公司行號、週報等名義發送惡意郵件給學校同仁。
  2. 郵件主題分為政治、公務、健康養生、購物、金融、遊戲、八卦、醫藥、色情、旅遊等類型,郵件內容包含連結網址或附件。
  3. 同仁若開啟上述信件或點閱其附件,則視為演練失敗。

特別提醒:

  1. 社交工程演練失敗將嚴重影響教育部對本校之評比,屆時視情形會於行政會議專案報告。
  2. 本處提供電子郵件安全設定重點,請確實完成設定;同仁如需設定方面之協助,請與網媒組聯繫(分機2325)。
  3. 本校公務電子郵件信箱請勿用於收取私人郵件,私人郵件惠請同仁以自身私人信箱收取,並落實電子郵件安全性設定。
  4. 演練期間,切勿開啟並立即刪除任何不明寄件人、主旨聳動或欲誘使點擊之可疑郵件。且因轉寄郵件視同開啟行為,因此,切勿將可疑郵件轉寄至自身私人信箱或他人信箱。

教育部歷年測試信件的標題非常多樣化,包含健康類、科技類、美容類、財金類、新奇類、旅遊業等,各種標題都是為了吸引大家開啟信件上鉤,一定要特別特別注意喔!!!

教育部歷年
電子郵件社交工程演練結果說明

歷年年度演練結果如下表,皆未達到教育部預設目標,為了提高本校教職員工的資安意識,本校將持續宣導資通安全的觀念外,對於未能通過教育部演練人員,將列為日後加強資通安全宣導及教育訓練的對象。
將來這類性質的演練,教育部或行政院每年度會不定期地實施,因此,整理這次演練資料與結果,以及提供注意事項供本校使用者參考。

梯次

受測人數

演練信件開啟人數

演練信件開啟率

演練信件點閱人數

演練信件點選比率

112年第2梯次

100

14

14%

1

1%

112年第1梯次

100

23

23%

3

3%

111年第2梯次

100

19

19%

8

8%

111年第1梯次

100

11
11%

22

22%

教育部合格標準:
惡意郵件開啟率應低於10%以下;惡意連結(或檔案)點擊率應低於6%

測試信件摘要表

測試信件摘要表

科技類    Safari漏洞或導致瀏覽歷史
               Google帳戶資訊外洩
學術類    遠端教育訓練變更通知
公務類    【公告】人事異動通知
公務類    【公告】員工加薪通知
擬真類    如果您無法登入帳戶

本校受測結果

Image
Image

社交工程原理

社交工程是一種利用人性的弱點進行詐騙,以達到個人目標的手段。最常利用的工具則是透過電子郵件的方式,誘騙使用者開啟信件或者點擊連結。駭客在這類型的信件中藏有惡意的軟體或連結,使用者如果點擊或開啟之後就讓駭客可以藉此達到操控的目的。

社交工程的手法日新月異,很難一言道盡。最簡單的應對方式就是:,

  1. 不認識的寄件者來函, 不要隨意開啟
  2. 與自己業務無關的信件, 不要開啟
  3. 寄件者雖然是認識的人, 但是寄件地址跟以往不同, 開啟前先確認
  4. 取消收信的媒體之郵件預覽功能

右圖所示, 即為駭客使用假冒的知名網站, 偷取你的帳號密碼。如果一時不察, 帳號就可能被盜用。

Image
Image

信件中的附檔如果有病毒,在不知情的情況點下去就會中木馬等病毒並有機會被駭客盜取個人資料及電腦內的相關訊息。

收信時必須要注意寄件者的信箱、寄件時間以及信件的主旨還有附加檔案等等...,發現這些疑點有可能是釣魚郵件就應避免開啟信件附件或點擊信件內的超連結。 

Image