Yahoo奇摩新聞 上市櫃公司陸續遭駭 數位部為何示警社交工程欺騙?
近期陸續有上市櫃公司遭駭客攻擊,數位部資安署長謝翠娟指出,企業發生類似事件大多是有人員受到社交工程欺騙,「並不是有防護漏洞,而是被社交工程攻擊,例如同仁不小心收了mail,或者是點了某些連結,合法地把壞人引進來。」
上市櫃科技公司遭駭 資安署:疑點擊釣魚連結
社交工程是什麼?
社交工程(social engineering)是一種利用人性弱點的資安攻擊手法,透過聊天、造假身分、電子郵件、來路不明的隨身碟,來欺騙使用者交出機敏資訊,或是主動將病毒下載至設備中。
科技部科普網站科技大觀園指出,儘管資訊防護技術日新月異,但整個資訊系統環節中,最脆弱的部分就是「電腦使用者」,因為只要有「人」就必然有弱點。
中研院資訊服務處表示,社交攻擊不分職等,任何人都可能被假冒或成為受害者。
如何避免遭社交工程攻擊?
首先在認知上,使用者需對於資訊詐騙有充足認識,避免隨意提供信用卡資訊、密碼等機敏資訊。
台中市政府警察局指出,電子郵件社交工程最常使用的郵件主旨為「政治、公務、健康養生、休閒娛樂、情色」等類型,教育部歷年演練的測試信件就包含「【人事公告】員工加薪通知」、「新冠疫苗6大廠牌種類比一比!」、「108年公教人員健檢辦法」等容易誘使人上當的主旨。
設定密碼時,也要使用強度足夠的複雜密碼,如大小寫、數字、特殊符號交雜,不同系統間也必須使用不同密碼。
在電子郵件方面,除了分開公私郵件帳號、強化身分驗證,開啟一次性密碼(OTP,one-time password)或兩步驟驗證(2FA)外,也需謹慎檢查寄件者的email、簽名檔、連結網址是否正確。
如下圖雖然乍看是傳送雲端共用文件,但進一步檢查可以發現,文件網址為drive--google.com,而正確的Google雲端網址為 drive.google.com。
由於社交工程、網路釣魚頻傳,Google也設計測驗,透過8題情境題解釋常見的釣魚手法。
更多公視新聞網報導
上市櫃科技公司遭駭 資安署:疑點擊釣魚連結
中駭客組織 長期滲透試圖竊取我機密資訊
WWW發明人發起計畫 盼遏止網路濫用
