分類檔案: 資安

資安相關的消息,包括產業需求、資安事件等等

典型的社交工程攻擊法:透過社群私訊發出釣魚連結!

今天早上突然收到多年未聯絡的朋友FB私訊…

這位朋友是我高中時就認識的,雖然在FB上有加為朋友,但幾乎沒在互動聯絡,只會透過彼此的FB塗鴨牆了解各自的生活點滴,然後彼此按個讚~

然後今早我忽然收到對方傳來的私訊,我一看就覺得有問題:

  • 傳來的訊息中有URL連結
  • URL連結是利用短網址處理過的

所以我馬上回訊問她:妳的帳號被盜嗎?

多做一次求證,再決定要不要點擊連結~

看到朋友傳來的私訊,大多數人可能因為信任而不加思索就點擊連結了,我是出於職業習慣,會立刻警覺到這應該是朋友的帳號被盜用而發出的私訊,而這正是社交工程攻擊最厲害、最難防的原因:信任!

不論是Line、FB或是傳統的Email,很多社交工程攻擊就是利用人們對發出訊息對象的信任來實施攻擊的,而社交攻擊手法有很多種,常見的有釣魚攻擊和詐騙攻擊等。

釣魚攻擊就是在訊息中附上一些URL連結,誘騙收訊對象點擊這些連結,然後進而取得更多資訊(例如帳號密碼、個人資料等)或是安裝後門程式、App等等。

而詐騙攻擊就是在訊息中列出一些恐嚇意味的內容在裡面,讓收訊者感到心生恐懼(例如擔心私密資訊外流等等)而同意付款,而且都是要求使用加密貨幣付款!

要注意的是現在的手法越來越精巧,常會利用短網址或是偽裝成Apple、Google、Amazon等大公司發出的通知信件來透騙收件人點擊連結、填寫重要資料,千萬要提高警覺!

常見的詐騙信件內容

都是用一些帶有恐嚇意味的內容,不要理它就對了!

要如何避免成為受害者?必須要自己隨時提高警覺!

社交工程攻擊是駭客最常成功的一種方法,比起利用各種攻擊工具去正面掃描、攻擊網站伺服器還要容易得逞,而且手法很多元,包括利用電話、Email、各種Social Tools(例如Twitter、WhatsApp、Line、FB Message等等,事實上有許多駭客工具就是在收集這些Social Tools上的個人資訊的!

現代人對於傳統詐騙集團的詐騙電話都不陌生,都經常會接到廣告行銷電話和詐騙電話,大多數人都因此而被迫提高警戒心,因此傳統詐騙集團也開始改變以前的做法,開始導入駭客的一些手法,例如我之前分享的親身案例:

當詐騙集團與駭客集團合作,不只是企業,每個人都必須要提高警覺!

要如何有效保護好自己的各種帳號密碼?

先不談廠商是否有妥善做好資安措施、保護好客戶的個資,我們先就個人可以做的事情來建議,以密碼學和駭客難以破解的角度來考量:

  • 若發現帳號被盜用,請立刻進行密碼的變更,並啟用二次驗證機制
  • 提高密碼強度,最好用英文大、小寫+數字+特殊字(順序沒有一定,至少要7個字)
    例如:IamKen=16888 (不一定要很難記,除非是用程式產生大量新密碼)。
  • 不同網站的帳號密碼儘量不要一樣,才不容易被撞庫攻擊得逞
    (撞庫攻擊的意思是駭客從某個網站取得大量帳密後去攻擊別的網站)。
  • 能夠啟用二次驗證機制的服務,就儘量啟用,別怕麻煩
    例如:AWS、Gmail、FB等等都有二次驗證機制,會利用簡訊或App做二次驗證。
  • 不要太仰賴第三方密碼託管服務,最好自己管理,也不要把帳號密碼的記錄檔案放在雲端儲存空間裡(例如Google Drive等等),最好只存在自己有加密過的儲存硬碟裡。
  • 大多數密碼不予許中文字,第一個字元不能用數字,有許多人會用鍵盤排列來設定密碼,但這種方式已被列入字典攻擊裡了。

想要做好防護,就要先了解駭客怎麼攻擊!

資安弱點掃描教學(基礎篇)正式開放報名!

此課程僅針對個人開放報名,企業包班歡迎來信洽詢

以前雲端課程我都是幫企業授課為主,還有就是演講;ReWork計劃才開始對一般個人授課,我比較喜歡這樣的小班制授課,不會太拘緊,學員們也比較敢發問…
 
 

▌資安弱點掃描(基礎篇)
〉課程日期:有四個時段可供選擇(請於報名表中進行點選)
〉課程時間:三個小時

▌課程目標:
〉了解資訊安全的基礎概念,像是駭客的常見攻擊手法等等
〉了解資安弱掃與注意事項,包括法律和實際執行弱掃時應注意的事項
〉取得資安測試工具百寶箱,讓參加課程的學員都能擁有自己的資安工具
★為了能讓學員都有滿滿的收獲,每次上課人數不超過5位,1人也能開課

▌提醒事項:
〉請準備一台自己的筆電,最好是具有無線上網功能
〉上課時不得錄音、錄影,請尊重講師智財權
〉上課教材會在現場發送給學員,並有紀念品

▌講師個人介紹:
現任「優福網資訊有限公司」資深雲端顧問
〉協助企業改善資安弱點、提升防護等級
〉協助企業雲端網站有效防禦DDoS攻擊
〉協助竹科企業救援Magento電商平台
〉協助知名遊戲公司代管雲端26個帳號
〉協助知名電商平台企業培訓雲端人才
〉協助知名遊戲公司大幅改善雲端成本
〉協助知名上市公司整併全球網站至AWS
★講師從事雲端顧問十二年,實戰經驗豐富

資安要訣

勿恃敵之不來,恃吾有以待之!

給企業的資安防護建議

企業想要做好資安防護,可以從四大面向考量

政策

  • 制定資安規範
  • 執行防護措施

人員

  • 給予資安訓練
  • 提高資安意識

硬體

  • 落實備份機制
  • 善用防護設備

軟體

  • 拒裝不明軟體
  • 善用資安軟體

例如要做好伺服器的資料備份時,就有很多注意事項

  • 主機天天24小時不能關機
  • 用外接硬碟備份風險最高
  • 視成本效業規劃備份方式
  • 視任務來規劃備份的排程
  • 考量網路架構和效能影響
  • 儲存設備可用NAS或SAN
  • 壓縮備份會耗用大量CPU
  • 同步備份可做差異性備份
  • 重要和特殊設定都要備份
  • 備份資料庫有特別的方法
  • 要注意還原資料所需時間

世上沒有百分百的安全,資安攻防將永無止境