111年度教育部所屬公務機關及臺灣學術網路,將於3月至11月期間,辦理 2次防範惡意電子郵件社交工程演練。演練對象包含機關學校全體人員,演練的評量標準為社交工程郵件開啟率應低於 10%(含),社交工程郵件點閱率(點選演練郵件內文連結網址或附檔)應低於 6%(含)。各次演練作業結束後,對於演練成績不良者,教育部將函請演練單位擬定改善措施辦理。為提昇學校同仁的資安意識,並配合教育部的演練,電算中心於3月31日再次辦理資安講座,加強資安宣導及教育訓練,避免不當郵件行為造成的資安風險。
本次課程邀請到目前在東華大學及花蓮區域網路中心,負責資訊安全業務推廣的何振揚技術師,前來講述『防範惡意電子郵件社交工程』。講師介紹社交工程主要是利用人性弱點,應用簡單的溝通和欺騙技倆,突破安全防護,進行非法的存取及破壞行為;社交工程也是駭客常用的入侵管道之一,透過電子郵件夾帶惡意程式附件或惡意連結網址、偽造身份、網路釣魚、變臉詐騙等方式,輔以吸引人之信件主旨及內容,誘使缺乏警戒心的使用者開啟後,駭客利用此方式滲透單位網路,成功機率高,且使用者不易發現,風險不容輕忽,目前已有多個實際入侵成功案例,嚴重損害機關或個人之權益。
講師也詳細說明郵件軟體的防範設定:電腦版及行動裝置Gmail設定標準密度、不要分割的閱讀窗格、停用外部圖片及下載附件等。Outlook、Office365(Outlook)則應關閉預覽視窗、關閉自動下載圖片與其他功能、純文字閱讀信件、不自動寄送回條等。這些電子郵件的基本設定均可預先避免開啟不明信件,減少被入侵的風險。課程的另一重點,講師提出教育部社交工程演練的實際範例,詳細說明應注意的事項,讓同仁更貼近於現實情境,加深同仁的印象。教育部社交工程測試作業,即模擬駭客寄送各種誘騙的測試信件,嘗試以測試信件誘騙受測者,並測試受測者之警覺性,此測試方式可用來瞭解受測者之資安意識的落實狀況,及其對社交工程、網路釣魚等誘騙攻擊行為的防護與警覺能力。課程最後提醒社交工程防範作為,如下:
- 不要開啟未經確認的郵件與附件,並關閉郵件預覽功能,非公郵件請直接刪除。
- 開信前請先同時檢視寄件者與標題,確認為安全信件再開啟郵件。
- 習慣使用手機收信需留意,手機閱覽信件容易誤觸,遇有不明信件請直接刪除,切勿點選。
- 建議公務郵件只用於公務用途。
- 仔細檢查所有的電子郵件。小心來自高階主管送來的不尋常郵件,請先以電話聯絡確認,因為容易忽略驗證被用來誘騙員工緊急動作。
- 留意資安訊息、參加資安教育訓練。
在政府機關資安現況2021揭露,近年三級事件通報,人為疏失是主因,資安防護除了仰賴各種資安設備、產品的偵測、防禦功能以外,使用者良好的使用習慣與有效的管理措施,也扮演非常重要的角色。
電算中心在課程開始前也針對109~110年教育部社交工程演練時,同仁不小心點選演練電子郵件的統計說明,逐一分析應注意的惡意郵件特徵,並提出建議措施。課後也請同仁作Google線上10題評量試題測驗,同仁認真作答,有疑問並當場提問討論,共計回收50份試題評量,其中100分有40人、90分有10人,評量成績優異,顯示上課同仁已有基本的資安概念。電算中心為提昇同仁資安意識,仍持續辦理更多資訊安全課程,歡迎同仁踴躍參加。
課程學習回饋:報名人數-69(職員59、教師8、學生2)
本次教育訓練課程,評量測驗結果
- 課程評量試題:50份回饋,其中100分有40人、90分有10人,評量成績優異,顯示上課同仁已有基本的社交工程資安概念。
