公務員避開郵件社交工程演練引來新的危險

2009 / 06 / 05

吳依恂

趨勢科技最近發現了一封社交工程手法的攻擊信件，主要是針對Microsoft Outlook的網路釣魚郵件，偽造Microsoft Outlook需要被重新設定，附上釣魚網頁連結，要求使用者填寫電子郵件帳號密碼，藉此獲得權限盜取個人資訊，使用者若沒有辨明該網址是否真為微軟所有，隨意點選便會上當受騙。

趨勢科技資深技術顧問簡勝財提到，雖然該釣魚郵件是以英文撰寫，然而許多台灣高科技公司的郵件往返也都習慣使用英文，因此對於英文的釣魚郵件仍不可忽視。他也建議，在瀏覽網頁時，如果手動輸入官方網址查詢，較不容易出現安全疑慮。他同時提到目前對台灣政府單位而言，最常會面臨到對岸網軍的大量攻擊威脅，而且是具有針對性、特定對象的社交工程攻擊。

不過，「上有政策、下有對策」。儘管平日的攻防演練有助於提醒使用者的注意，但使用者抗拒的問題似乎是各單位都難以避免的事情。法務部資訊處處長陳泉錫也提到以演練來因應資安威脅亦有難為之處，為了要提高使用者資安意識，因此資訊單位常常會安排許多的攻防演練，一但使用者疏於防範，隨意開啟釣魚郵件，便會被記點、扣分。不過，管理尺度需要拿捏，過於嚴格苛刻，使用者反而紛紛開始使用起私人或免費的外部電子郵件來進行信件往返，規避可能被懲罰的風險，而這些不在控管之中的私人信箱，卻可能引來更大的資安問題，例如說資料外洩等。如何在便利與安全之中取得權衡，恐怕還有很大的思考空間。

攻防演練陳泉錫法務部資訊處處長趨勢科技社交工程電子郵件 Microsoft Outlook 重新設定簡勝財網軍攻擊