♦ E-Mail 社交工程檢測
行政院國家資通安全會報自民國95年技術服務中心發展社交工程演練系統,隨後於民國96年10月頒訂「防範惡意電子郵件社交工程施行方案」,規範機關自訂社交工程防制年度目標、舉辦相關資安教育訓練與宣導。
本專案針對演練範圍內每個郵件帳號,提供兩次演練,每一個電子郵件帳號寄送十封特製之演練信件,且每封範本經雙方協議之模式加以評定範本之有效性與強度。
信中夾帶特製之識別因子,於信件開啟、點閱連結及開啟附件時,會啟動回報機制,僅進行資料統計,但不會有入侵之行為,用以測試企業同仁對於電子郵件社交工程的警覺性。
§ 演練步驟
(1)環境確認
► 瞭解企業資安政策、規範或規定。
► 瞭解受測單位部門劃分與受測範圍,並依此規劃受測時程。
(2)演練郵件範本提供
提供演練郵件範本供企業挑選,以選擇合適信件作為測試範本。
(3)線上檢測
► 採用無預警方式進行演練,寄信來源應來自信任網域之外。
► 由機關向GSN網路申請開放測試,以避免GSN前端過濾機制阻礙演練之進行。
► 演練作業限於上班時間,以避免產生時間落差。
(4)彙整與分析
► 針對部門別進行統計,並可提供開啟電子郵件之各缺乏警覺性使用者名單。
► 統計企業開啟附加檔案的使用者比例。
► 提供電子郵件社交工程演練服務結果統計報告。
(5)提出整體性建議
► 針對缺乏警覺性之使用者進行資安宣導或安排資安講習。
► 針對開啟附加檔案比率過高的部門,進行檢討。