生活中的資安









            密碼給收款人，收款人就能憑藉英文姓名                                           螢幕側錄工具等），記錄受害者使

            及密碼進行提款。時至今日，全球已有相                                           用電腦行為，再進行下一步攻擊。
            當多利用西聯匯款而被詐騙的案例，警方
                                                                     以上要素不一定會同時出現，亦可能
            與銀行都無法追蹤及攔截詐騙款。
                                                                交互搭配使用，曾有僅憑單一內容即欺騙
                                                                成功的案例，造成受害者損失。例如，假
               社交工程郵件之包含要素
                                                                冒會議邀請信函，成功欺騙到受害者出門

                 以電子郵件來詐騙至少已有十年歷                                參加會議，加害者利用這段時間闖空門等。
            史，然至今仍有民眾上當，因為民眾輕忽

            或無知，易讓駭客達到欺騙目的。社交工                                    勒索軟體通常包裏著
            程電子郵件不乏利用聳動的郵件主旨、偽                                    社交工程郵件外衣

            造受害者熟悉的寄件者、以假亂真的郵件
                                                                     近幾年造成全球重大災情的勒索軟
            內容等等，試圖吸引使用者上鉤。社交工
                                                                體，大部分行為模式即透過社交工程電子
            程電子郵件中會有幾個要素，包含超連結、
                                                                郵件，讓受害者點擊後自動下載並執行一
            附件、圖片、郵件內容內嵌程式碼。
                                                                個看似無害的小程式，連線至外部中繼站

            ●         超連結：有可能會讓受害者連至                            下載勒索軟體主程式，此主程式會開始掃
                      攻擊者所架設之惡意網站，藉此                            描電腦所存文件 後加密，跳出警告訊息，
                                                                                 2
                      收集受害者相關資訊。                                指示受害者利用比特幣付款至指定帳戶以

                                                                換取解密提示。
            ●         附件：多含惡意程式，開啟並執

                      行後會潛藏在受害電腦裡，直接
                                                                  日本年金機構之個資外洩事件
                      將電腦內資料對外傳輸、偷偷側

                      錄用戶使用電腦的任何行為、接                                 若讀者認為，就算有人「運氣這麼不
                      續下載惡意程式至受害電腦再執                            好」開啟了社交工程電子郵件，造成傷害

                      行各項行為等。                                   也不過是個人財產及聲譽。其實損失的嚴
                                                                重性，絕非想像中的那般簡單。
            ●        圖片及郵件內容內嵌程式碼：能回
                      報給攻擊者表示「登陸成功」，更                                掌管日本全國國民年金的組織「日本

                      甚者直接讓受害者電腦自動從中繼                           年金機構」（相當於勞動部勞工保險局國
                      站下載小程式（諸如鍵盤側錄工具、







            2
               多為 Office 系列，以及 PDF 或 JPEG 圖檔等企業常見之檔案格式。



                                                                                                  No.37 JAN. 2022  67