资安认知-社交工程

到职的第一个月，接到了一个小小的任务
顾问们将要到客户端做资安认知教育训练
而客户在确认课程简报的过程中，提出了一些建议：
「内容太艰涩了，认知课程希望要生活化一些」
希望能调整到符合客户单位需求的授课内容

面对授课的对象为非IT产业背景的客户
要寻找贴近生活化的例子进行说明

而通常非IT单位内部最相关的资安认知宣导就是
社交工程防范

社交工程(Social Engineering)攻击的定义

利用人性弱点、人际交往或互动特性所发展出来的一种攻击方法
包含电话诈骗、通讯软件诈骗、电子邮件及简讯诈骗等
企业常见透过电子邮件进行攻击或网页暗藏木马/rootkit
- 使用与业务相关或令人感兴趣的邮件内容
- 含有恶意程序的附件或连结
- 假冒寄件者
- 利用应用程序之弱点
而最终的目的在诱骗收信者提供个人资料(如：帐号、密码)
引诱收信者透过下载方式来执行以图片、连结、夹档所伪装的恶意软件。

「钓鱼信件」的目的在於骗取使用者的个人资讯，进而利用该资讯。
仿照某公司的正式信函，透过伪造的内容，要求你点选网址登入网站，使资料遭到窃取。

钓鱼邮件要钓什麽呢？
我们的攻击目标，通常可分为以下三种

其他常见的社交工程攻击方式....

电子邮件隐藏电脑病毒
将病毒、蠕虫与恶意程序等隐藏在电子邮件中，看似朋友所寄来的邮件，却是应用社交工程的电子邮件。
网路钓鱼
伪装知名企业或机关单位寄发的电子邮件，通知收件人必须重新验证密码或登入某网址输入个人资料等，收件人若未小心求证而点击了邮件中的连结，可能就下载了恶意程序，或假网页上输入了帐号密码或信用卡资料等，造成银行户头被盗领或盗刷。
伪装修补程序
通常使用者对此类程序难有警觉，若安装了这类的档案，不但无法修补作业系统的任何漏洞，还可能被安装了远端窃取资料的木马程序。

认知教育训练课程应避免使用专有名词，采口语化的表达
规划配合时事贴近民众，以提升资安意识及警觉性
大量的图片及少量的文字说明，加深民众对内容的印象
社交工程将分为几个部分整理给各位