♦ E-Mail 社交工程檢測

 

行政院國家資通安全會報自民國95年技術服務中心發展社交工程演練系統，隨後於民國96年10月頒訂「防範惡意電子郵件社交工程施行方案」，規範機關自訂社交工程防制年度目標、舉辦相關資安教育訓練與宣導。

本專案針對演練範圍內每個郵件帳號，提供兩次演練，每一個電子郵件帳號寄送十封特製之演練信件，且每封範本經雙方協議之模式加以評定範本之有效性與強度。

信中夾帶特製之識別因子，於信件開啟、點閱連結及開啟附件時，會啟動回報機制，僅進行資料統計，但不會有入侵之行為，用以測試企業同仁對於電子郵件社交工程的警覺性。

 

§ 演練步驟

（1）環境確認

► 瞭解企業資安政策、規範或規定。

► 瞭解受測單位部門劃分與受測範圍，並依此規劃受測時程。

（2）演練郵件範本提供

提供演練郵件範本供企業挑選，以選擇合適信件作為測試範本。

（3）線上檢測

► 採用無預警方式進行演練，寄信來源應來自信任網域之外。

► 由機關向GSN網路申請開放測試，以避免GSN前端過濾機制阻礙演練之進行。

► 演練作業限於上班時間，以避免產生時間落差。

（4）彙整與分析

► 針對部門別進行統計，並可提供開啟電子郵件之各缺乏警覺性使用者名單。

► 統計企業開啟附加檔案的使用者比例。

► 提供電子郵件社交工程演練服務結果統計報告。

（5）提出整體性建議

► 針對缺乏警覺性之使用者進行資安宣導或安排資安講習。

► 針對開啟附加檔案比率過高的部門，進行檢討。