何謂社交工程

       利用人性弱點，應用簡單的溝通和欺騙手法，來突破校園的資通安全防護，獲取帳號、密碼、身分證號碼或其他機敏資料，進行非法的存取、破壞行為。 若是輕忽社交工程，將構成校園資通安全的漏洞，給予駭客可乘之機，其結果輕則影響個人權益，重則威脅校園資通安全，故不可不審慎對待。 瞭解社交工程的攻擊模式，有助於個人防範各種社交工程攻擊手法，以下列示常見的社交工程攻擊手法以供參考︰

• 透過電話、電子郵件偽裝為資訊管理人員，騙取帳號及密碼。
• 偽裝委外廠商維護人員或主管高層人員，乘機騙取帳號及密碼。
• 使用電子郵件誘騙使用者登入偽造的釣魚網站，騙取相關帳號及密碼。
• 使用電子郵件誘騙使用者開啟檔案、圖片、連結，以植入惡意程式、木馬，進行加密勒索或竊取機敏資料。
• 利用提供工具、檔案、圖片為誘因，誘騙使用者下載，如偽裝的修補程式、P2P下載軟體、工具軟體等，乘機植入惡意程式，進行加密勒索或竊取機敏資料。
• 利用即時通訊軟體，如 LINE、Skype等或簡訊，偽裝親友通訊，誘騙點選通訊中之連結後，被迫執行惡意程式。

       社交工程利用人性弱點來騙取機敏資料，讓人防不勝防，若想有效避免社交工程所造成的危害，需做到下列事項：

• 隨時提高警覺
• 不未經確認對方身分即提供資料
• 不開啟來路不明的電子郵件及附加檔案
• 不連結或登入未經確認的網站
• 不下載非法軟體或檔案
• 不明來歷或非公務信件、檔案，直接刪除。

電子郵件社交工程注意事項

       為因應現今日益猖獗的網路攻擊，其中約有7成是透過惡意電子郵件發動攻擊，為避免電腦遭受網路攻擊危害，故請各位主管、老師、同仁們務必再次檢查電腦收信軟體(outlook XXXX或 Office 365 Outlook)及平台，參考社交信件防禦設定，避免您的電腦、行動裝置等遭受駭客植入木馬、後門等，因而導致資料毀損。

注意事項：

1. 若發覺疑似『釣魚』、『社交工程』等可疑信件，請通知至職林均茂，並提供【寄件者電子郵件帳號、主旨】等資訊。

2. 請勿開啟不明來歷或非公務信件，直接刪除。

3. 因目前網路攻擊事件(如：釣魚、木馬、後門、加密勒索…等)攻擊，約有7成是透過惡意電子郵件發動，故請同仁對電子郵件，非自身產出的檔案，抱持零信任，請確認下列事項：

• 為避免同仁遭受社交信危害，請確認來源或是內容安全後，再以HTML閱讀該封信件。
• 確認來源是否可信任(寄件者電子郵件帳號、或檔案提供者)
• 不明來歷或非公務信件，直接刪除。
• 非自身產出的檔案、電子郵件附件，不要直接開啟，請先掃毒
• 不要隨便點選網頁或電子郵件內的連結(尤其是與公務無關的)
• 非可信任的電子郵件，請不要選擇下載圖片、點擊連結、開啟附件

4. 因近日眾多同仁電腦升級，請務必檢查收信軟體(outlook XXXX或 Office 365 Outlook)是否設定純文字閱讀、關閉自動下載圖檔、設定郵件規則。

相關純文字等設定請參考本連結：社交信件防禦設定

若有錯漏，煩請通知圖書資訊處林均茂，分機2272，將會盡快更新網頁上文件。