為依資通安全法令規定及增進臺灣學術網路安全之目的,教育部持續辦理113年度臺灣學術網路社交工程演練,提升教育體系人員的警覺性,並檢驗機關防範社交工程的成效,藉由後續持續改善,降低社交工程風險。電算中心除了公告提醒社交工程演練的注意事項,還舉辦資安教育訓練,邀請邦尼管理顧問有限公司資深顧問鍾文魁,講授有關資訊安全威脅趨勢與防護作為,並深入介紹社交工程網路攻擊手法。
教育部依據《資通安全事件通報及應變辦法》第8條及《臺灣學術網路管理規範》相關規定,113年度教育部、所屬公務機關及臺灣學術網路防範惡意電子郵件社交工程演練計畫將於5月中開始,演練對象為各單位提交的演練人員名單,按公務電子郵件帳號隨機選取100人,針對各受測人員寄送5封社交工程演練郵件,演練目標為郵件開啟率低於10%(含),點閱率低於6%(含)。演練成果報告將函送各演練單位。
社交工程是駭客常用的入侵管道,透過電子郵件夾帶惡意程式或連結,配以吸引人的信件主旨及內容,誘使缺乏警戒心的使用者開啟,造成進一步破壞,並有多件實際入侵成功案例,嚴重損害機關或個人的權益。此類攻擊通常利用使用者的好奇心,正如俗話所說,資安最大的漏洞就是「人」。社交工程攻擊用的不是高深的電腦技術,而是利用人性的弱點和普遍的信任,透過話術和溝通伎倆獲取使用者的敏感資訊,如帳號、密碼、驗證碼、信用卡號、特定網站或系統的存取權或加密錢包私鑰等,使社交工程攻擊成為一種低門檻卻能造成巨大損失的攻擊手法。
講師在課堂上模擬社交工程攻擊手法與模式,並透過電子郵件夾帶惡意程式,實際示範惡意程式入侵電腦的過程,讓同仁了解其運作方式與原理。課後回饋表示,實作演練加深同仁的印象,使他們更能清楚如何防範與減少社交工程攻擊帶來的資安威脅。最後,講師提醒同仁不要開啟來路不明的電子郵件或點擊不明連結或附件,電腦及行動裝置需安裝防毒軟體並更新病毒碼,定期執行病毒掃描,隨時注意電腦或網路使用狀態,以期降低資安威脅。
透過113年度臺灣學術網路的社交工程演練及資安教育訓練,教育部及各相關機關有效提升了人員對社交工程攻擊的警覺性和防範能力。這些演練不僅檢驗了現有的資安措施,還促進了持續改善,降低了學術網路面臨的社交工程風險。隨著科技發展,資安威脅日益複雜且多變,持續進行相關教育訓練及演練,對於保障資訊安全至關重要。期望各單位能不斷提升防護能力,共同維護臺灣學術網路的安全與穩定。
(撰文:電算中心 教育訓練組 照片:曾繼峰)