資安服務說明 關於本網站 網站導覽
i-Security 電子報 第 112期【2011/08/31】

(2011.08.31  第一一二期)

資安隨堂測驗

Q1. D
Q2. D

Q3. B

 




 
小撇步類別 :
網路安全
人員與環境安全
資料與存取安全
系統安全
案例
  免費色情圖片別亂看 小心!來者有「毒」(網路安全)  
  發生日期:2010/2/23
案例情境:喜歡看正妹清涼照的宅宅小心!新出爐資安報告指出,駭客已將魔手伸向色情行業,聲稱只要登記並輸入個人資料,就可以看見免費「好康」,實際是意圖拐騙使用者資料或誘使下載惡意程式,來者不善,資安專家提醒,網友千萬切勿見獵心喜。

資安業者莊添發表示,近年來猖獗的「網路釣魚」(Phishing)多是以金融業知名品牌為利用對象,假設冒牌銀行網頁,要使用者輸入密碼或個資,進而騙取用戶資料、使其連結或下載到惡意程式。

然而,1月份最新公佈的垃圾郵件/釣魚網站報告顯示,網路釣魚作者已將該方式複製到色情行業,駭客假冒免費網站現身,聲稱使用者只要登記並輸入個人資料,就能進到網頁內,看取免費「好康」資訊,甚至還帶用戶到一個防病毒的網頁,誘騙下載惡意程式。

報告顯示,有92% 的成人網路釣魚訊息皆來自近年火紅的社交網站,其餘的則是假借資訊服務品牌之名誘騙使用者。

此外,駭客持續利用民眾對海地地震災害的善心,詐騙相關慈善捐款,要網友點選相關影片的連結,實則是點選後即下載木馬病毒。猖獗的垃圾郵件部份,資安業者則觀察到歐洲、中東與非洲地區重回圾郵件發行排行榜冠軍,1月份較12月份成長有7.9%之多。

資安專家提醒,民眾應避免點擊來路不明的連結,這些連結可能會將使用者導引至含惡意程式的網站;特別要防範會要求使用者填寫資料作慈善捐款的郵件,因為,一般慈善機構甚少要求捐款人在電子郵件中直接提供個人資料。

資料來源:NOWnews
防範措施:
社交工程造成威脅的主因,在於使用者對於防範詐騙沒有足夠的認知,縱使惡意人士未具備頂尖的電腦專業技術,即可避開企業的軟硬體安全防護,而騙取到各項帳號密碼、個人資料、財務資料或公司重要資料等資訊,進而對民眾或企業造成不當影響。
 
民眾或組織員工對安全防護認知的不足,造成資通安全的一大漏洞,即便使用各種網路防護的軟硬體,並提供適當之訓練,卻因社交工程利用人性的弱點,而引發負面之衝擊,以下提供幾則防範社交工程的小撇步:
1. 認識常見社交工程手法:如電子郵件隱藏電腦病毒、網路釣魚、圖片中的惡意程式、偽裝修補程式、即時通...等。
2. 提高自我警覺:如不開啟來路不明的電子郵件、不隨意將密碼告知其他人...等。
3. 改變個人使用習慣:如不開啟執行檔(如.exe、.com、.bat、.scr、.pif...等)、不點選內文中之網頁超連結、防範Html郵件隱藏遠端下載)...等。
4. 社交工程郵件常見之主題及類型:
(1)社交工程郵件常見之主題:政治新聞、影劇新聞、情色主旨、休閒娛樂、時事...等。
(2)社交工程郵件常見之類型:惡意網頁連結、惡意Word檔。
5. 熟悉及設定Outlook & Outlook Express:
 (1)關閉自動下載圖片
(2)關閉預覽視窗
(3)不要自動回覆讀信回條
(4)設定以純文字格式讀取郵件
6. 密碼設定技巧:
(1)避免使用簡單邏輯之密碼,2010年,美國《紐約時報》一篇報導指出,網路安全公司Imperva公布了一份統計資料,分析了被駭客入侵竊取的某網站會員帳號密碼,在三千兩百萬個密碼中,最多使用者使用的密碼是「123456」,有高達1%的會員使用!
(2)避免使用懶人密碼:如自己的英文名、生日、電話等個人資料、與帳號相同、簡單的連續英文字元,例如aaaa、簡單的英文字元加數字,例如abc123、電腦鍵盤上的連續字元,例如asdf、qwerty、單字或簡單詞語,例如上述的password與iloveyou
(3)建議使用強式密碼:不使用個人資料、不使用有意義的單字、結合大小寫英文、數字和特殊符號,越長的密碼長度當然亦越難被破解,建議密碼最少為八個字元(包括大小寫英文、數字和特殊符號)。

最後有2項重點提醒您:
1. 除非您瞭解電子郵件附檔的來源、您知道會收到該附檔,否則請勿開啟!
2. 若電子郵件來自不知名人士,請勿因為好奇心驅使隨意開啟郵件和附檔!


作者:NII產業發展協進會 吳昭儀 資深經理
 
     

最近案例
病歷當便條紙 病患隱私遭洩漏…
資料庫遭受SQL Injection攻擊 員工客戶資料失竊…
小心離職員工的回馬槍…
中選會網站出ㄘㄟˊ…
高校生帳號被盜 莫名被買家罵詐欺…

 

 
 
Copyright ©NII 產業發展協進會 隱私權政策免責聲明IPR