资安认知-电子邮件钓鱼

在社交工程的攻击中，我们最常见的也莫过於电子邮件钓鱼
电子邮件钓鱼也被列为主要进行社交工程演练的项目

由於近年的电子邮件钓鱼技术十分成熟
也很容易找到相关的工具
如Kali Linux中的Social Engineering Toolkit(SET)
就可以简单的模拟钓鱼的情境

常见电子邮件钓鱼手法

• 会尝试窃取透过电子邮件、 网站、 文字讯息或其他形式的电子通讯
  • 假冒网址或IP
    • 常见伪装成正派的机构，利用奖品或是诱人的主旨标题吸引你点选连结，导向假冒的视窗，填写资料以窃取电子邮件帐密、信用卡卡号和基本资料。
  • 寄送电子邮件
    • 用你的电子邮件寄包含着各式病毒的信件给你朋友、窃取你的网路帐户恶意发文，自己在网路上发奇怪的文，但却甚至根本不记得是在什麽地方这些资讯被盗用了。
  • 社群网站登入
    • 用热门话题作为跳板，吸引使用者点选网址，进入网站里注册、登入社群帐号密码。让呈现出来的网址与假冒公司的官方网址完全相同，而资料自然若入诈骗集团手中。

社交工程常见的步骤

1. 有心人在电子邮件内放置有害程序或连结
2. 将信件寄给特定或不特定对象
3. 使用者(收信後)开启信件
4. 启动连结恶意网页或下载有害程序
5. 要求输出使用者资料

关注可疑的电子邮件

• 陌生人或极少往来对象的来信
• 非正常的发信时间
• 过於耸动或紧急的主旨
• 主旨不明或与发信者习惯不同
• 要求输入敏感资料之邮件
• 内含不明档案或链结之信件

我们对电子邮件钓鱼的防范有个简单的小口诀
三不：不上钩、不打开、不点击

三要：要备份、要确认、要更新

使用者只能多一份警觉，在各个步骤多加留意，才能避免我们成为那只被钓中的鱼儿~