教育部111上半年度電子郵件社交工程演練,本校受測人數為100名(含一、二級行政主管),未通過演練人員共21名,為了提高本校教職員工的資安意識,本中心將持續宣導資通安全的觀念外,對於未能通過教育部演練人員,將列為日後加強資通安全宣導及教育訓練的對象。將來這類性質的演練,教育部或行政院每年度會不定期地實施,因此,整理這次演練資料與結果,以及提供注意事項供本校使用者參考。
教育部為強化教育機構教職員對資安意識的落實與對社交工程等攻擊行為的資安警覺意識,於2022年4月22日至2022年05月22日期間進行電子郵件社交工程演練,藉由模擬駭客寄送各種誘騙信件的手法,測試教職員點選各類誘騙信件的比率。
教育部合格標準:惡意郵件開啟率應低於10%以下;惡意連結(或檔案)點擊率應低於6%。
| 組別 | 信件類別 | 信件標題 |
|---|---|---|
| Letter 1 | 科技類 | Safari漏洞或導致瀏覽歷史、 Google帳戶資訊外洩 |
| Letter 2 | 學術類 | 遠端教育訓練變更通知 |
| Letter 3 | 公務類 | 【公告】人事異動通知 |
| Letter 4 | 公務類 | 【公告】員工加薪通知 |
| Letter 5 | 擬真類 | 如果您無法登入帳戶 |
教育部通知這次測試結果,本校共抽100人受測,開啟信件率 7%。
| 單位 | 人數 | 單位 | 人數 |
|---|---|---|---|
| 教務處 | 1 | 理學院 | 1 |
| 計算機與通訊中心 | 1 | 工學院 | 1 |
| 人文社會學院 | 1 | 電機資訊學院 | 1 |
| 秘書處 | 1 |
教育部通知這次測試結果,本校共抽100人受測,點選連結率 2%。
| 單位 | 人數 | 單位 | 人數 |
|---|---|---|---|
| 藝文總中心 | 1 | 全球事務處 | 1 |
教育部通知這次測試結果,本校共抽100人受測, 開啟附檔14%。
| 單位 | 人數 | 單位 | 人數 |
|---|---|---|---|
| 教務處 | 5 | 總務處 | 4 |
| 計算機與通訊中心 | 2 | 人文社會學院 | 1 |
| 工學院 | 1 | 電機資訊學院 | 1 |
教育部通知這次測試結果,本校共抽100人受測,未通過總數21人,一、二級主管 7人,總未通過率 21%。
| 單位 | 人數 | 單位 | 人數 |
|---|---|---|---|
| 教務處 | 5 | 總務處 | 4 |
| 計算機與通訊中心 | 3 | 工學院 | 2 |
| 人文社會學院 | 2 | 電機資訊學院 | 1 |
| 藝文總中心 | 1 | 理學院 | 1 |
| 秘書處 | 1 | 全球事務處 | 1 |
電子郵件社交工程型攻擊的目的在於誘騙收信者提供個人資料(如:帳號、密碼),或引誘收信者透過下載方式來執行以圖片、連結、夾檔所偽裝的惡意軟體(malware),讓電腦中毒成為入侵者所控制的殭屍網路電腦(botnet)。
由於這類的攻擊,如:下載圖片、點選連結,實際惡意軟體的資料是由使用者電腦直接向提供者下載取得,並不會經過郵件伺服器的防毒機制,即使過濾夾檔也有零日病毒(zero-day virus)的問題,在郵件伺服器端僅能過濾已知的病毒,因此,最佳防範這類社交工程型態攻擊的方法,就是使用者要有資安警覺,收到電子郵件時,注意下列幾件事:
* 郵件軟體安全性設定