電子郵件社交工程演練

聖約翰科技大學電子郵件社交工程演練計畫

　　為配合教育部「108年度學術機構分組防範惡意電子郵件社交工程演練」計畫，於108/05/01~108/10/31進行電子郵件社交工程演練，演練目的為測試電子郵件使用者是否會點選郵件中不明連結，或開啟來路不明之附加檔，強化同仁資安意識並檢驗同仁對於防範電子郵件社交工程之認知。

◎什麼是社交工程：

　 社交工程，英文為Social Engineering，是利用人性弱點或人際之信任關係來欺騙他人，以獲得有用的資訊，早期社交工程是使用電話或其他非網路方式來詢問個人資料，而目前社交工程大都是利用電子郵件或網頁來進行攻擊，這是近年來造成企業或個人極大威脅和損失的駭客攻擊手法。

　　社交工程造成極大威脅的原因，在於惡意人士不需要具備頂尖的電腦專業技術，只要使用者對於防範詐騙沒有足夠的認知，就可以輕易地避過了軟硬體安全防護，而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊，所造成的損害與威脅，完全不下於網路上的各種駭客攻擊。

◎電子郵件社交工程的攻擊手法：

•假冒寄件者
•使用與業務相關或令人感興趣的主旨與內文
•含有惡意程式的附件或連結
•利用應用程式弱點(包括零時差攻擊)
•網路釣魚

◎可疑電子郵件之自我保護措施：

•關閉預覽窗格。
•非必要閱讀之郵件逕行刪除。
•設定為純文字讀取模式再開啟郵件閱讀。
•開啟郵件內含之超連結時先確認連線網址之網域名稱(Domain Name)是否足以識別？
若為數字IP之網址勿輕易開啟。
•不隨意輸入資料送出，傳送私密資料時確認是否有啟動加密機制。
•分辨電子郵件的真偽。

◎使用者在收取電子郵件時應有的習慣：

•檢查寄件者的真偽
•確認信件內容的真實度
•不輕易開啟郵件中的超連結以及附件
•開啟超連結或檔案前，確認對應軟體都保持在最新的修補狀態
•提高警覺，加強危機意識。

◎以下為研考會文官學院對於電子郵件社交工程的教學動畫（有語音）：

您的瀏覽器不支援內置框架或目前的設定為不顯示內置框架。

以上資料來源為研考會網路文官學院http://elearning.nat.gov.tw/

◎電子郵件社交工程防範：

　v注意可疑電子郵件之特徵

過於聳動的主旨與緊急要求。
不正常的發信時間。
陌生人或少往來對象來信。
認識的人來信但主旨或內容與其習性不符。
要求輸入私密資料送出。

　v可疑電子郵件之自我保護措施

關閉預覽窗格

非必要閱讀之郵件逕行刪除。

於該信件按滑鼠右建，點選【內容】->【詳細資料】(Outlook Express)或點選【郵件選項】(Microsoft Outlook)確任發信者電子郵件帳號，惟發信者電子郵件帳號仍有被偽冒的機率，必要時直接與寄信者連絡確認是否來信。

設定為純文字讀取模式再開啟郵件閱讀。

開啟郵件內含之超連結時先確認連線網址之網域名稱(Domain Name)是否足以識別？若為數字IP之網址勿輕易開啟。

不隨意輸入資料送出，傳送私密資料時確認是否有啟動加密機制。

寄件者與郵件主旨，若與公務無關，請勿開啟或直接刪除。

若附加檔案名稱與業務無關或檔名怪異，請勿開啟或直接刪除。