論社交工程安全威脅之研究

A Study of Security Threat for Social Engineering Attack

10.6737/JDP.201603_(11).03

方仁威(Fung, Ren-Wei)

資訊安全管理系統（ISMS） ； 社交工程攻擊 ； 跨網站指令碼攻擊（XSS） ； 威脅 ； 資安事件管理標準 ； Information Security Management System （ISMS） ； Social Engineering Attack ； Cross-Site Scripting ； Threat ； ISO/IEC TR 18044

發展與前瞻學報

11期（2016 / 03 / 01）

33 - 52

繁體中文

隨著Web 2.0 與網際網路的普及，使得網頁上呈現的影音與數位多媒體更加多元、活潑與豐富。現今，社群網站充斥，如：Facebook、Plurk、Twitter、Xuite、Yam 天空部落等社群網站及智慧型手機、Email 等虛擬社群工具影響力強大，依ComScore 公司統計調查指出，每個月約有7.94 億人造訪臉書(Facebook)，每人平均花377 分鐘，也就是超過6 小時掛在社群網站上使用。警政署165 防詐專線發現近期接續發生層出不窮的數起社群網站社交工程攻擊事件；有鑑於此，隨著網路的興起，促使以往多為電子郵件類社交工程攻擊演進成現今以社群網站為主的社交工程攻擊資安事件正不停上演，就連美中兩大強權的歐習會及今年剛召開的APEC 經濟領袖會議中網路安全亦是討論的主要議題，故這類的攻擊手法若未能加以重視、面對且強化資安管理的相關作為，則類似的資安事件將可能不斷擴大並衍生難以估計的災損。本研究將探討有關社交工程相關的攻擊威脅類型，將針對這類資安事件以案例分析法做一探討與剖析比較，另探討ISO/IEC 27001 資訊安全管理標準中與社交工程攻擊相關之管控措施結合ISO/IEC TR 18044 資安事件管理標準作業流程，藉風險評鑑分析及建置完善的評估處理步驟等，使相關事件的發生問題傷害能逐步降低，以遏止相關社交工程攻擊威脅一再上演。

In recent years, as Web 2.0 gains its popularity, the audio and multimedia effects on the web pages are more diverse, interactive, and abundant. Now, the social networks are hot, such as Facebook, Plurk, Twitter, Free Blog, Xuite, smart phones, and emails have their tremendous influences which cannot be neglected. According to the statistic of ComScore company to the end of 2011, there were 794 million people visited Facebook monthly; each person spend 377 minutes, that is more than 6 hours, on social networks. Recently, 165 anti-fraud hotline of National Police Agency has found there were consecutive social network attacking cases. In view of the prosperous of the Internet, the social engineering attacking is derived from the former emails to social networks today. If we do not pay attention to and strengthen the information security management, the information security cases will repeat itself. The influences will be broadened, and the lost and damage is beyond calculation. This research discusses the social engineering attacking related to social networks and compare these information security cases according to case analysis method.

1. Fung, Andrew Ren-Wei,Farn, Kwo-Jean,Lin, Abe C.(2003).A Study on the Certification of the Information Security Management Systems.Computer Standards & Interfaces,25,447-461.
   連結：
2. 陳金松記者／台北報導(2015)。「香港富商綁架案：比特幣BitCoin 付贖，警『根本無法追蹤』，匯出就石沉大海，警方傻眼忙惡補」，聯合報A3 版，2015 年10 月28 日。
3. 洪素卿記者／台北報導 (2012)。「Yes123 調查／320 萬上班族平均每日掛網摸魚1.3 小時」，自由時報，民國98 年11 月23 日。
4. 何宗龍記者／台北報導 (2012)。「奧運廣告商拚社群媒體金戰場」，中央社，2012 年4 月19 日。
5. (2005).Information technology-Security techniques-Information security management systems- Requirements.
6. 吳佳穎記者／台北報導(2011)。「用小賈斯汀名氣，駭客臉書行騙」，中央社，民國100 年8 月2 日。
7. (2004).Information technology-Security techniques-Information security incident management.
8. 林郁平記者／台北報導(2012)。「網路病毒林來瘋，小心doc 檔」，中國時報，民國101 年3 月18 日。
9. InsightXplorer (2010)。「創市際市場研究顧問公司調查社群網站與電子郵件使用狀況」。《網路測量研究》，民國99 年12 月。
10. 陳賢義記者／台東報導(2012)。「臉書帳目遇『駭』遭盜刷」”，自由時報，民國101 年4 月16 日。
11. 張君豪記者／台北報導(2015)。「木馬駭台灣：10 萬支手機中毒，惡意簡訊盜3 億」，蘋果日報，2015 年10 月13 日。
12. Hadnagy, C.(2010).Social Engineering: The Art of Human Hacking.Indianapolis, US:Wiley.
13. Laribee, Lena(2006).Naval postgraduate school.
14. Luhmann, Niklas(1993).Risk: A Sociological Theory.Walter de Gruyter Publishing.
15. Raman, K.(2008).Ask and you will receive.McAfee Security Journal,Fall,9-12.
16. Schneier, Bruce(2000).Secrets & Lies: Digital Security in a Networked World.Wiley Computer Publishing.
17. 方仁威、方建鈞(2011)。社交工程電子郵件攻擊類型之研究。「2011 資訊管理實務」學術研討會，桃園:
18. 方仁威、余俊賢(2004)。內部網路遭駭客攻擊方式與防護之研究。國防通信電子及資訊期刊，7
19. 方仁威、隨得書(2006)。資安事件管理機制之研究。「2006 年空軍官校航空安全暨危機管理」學術研討會，高雄‧崗山:
20. 陳嘉玫(2010)。網路安全的社交工程。科學發展期刊，461
21. 樊國楨、方仁威、林明華(2000)。A Study of Defensive Security Mechanism for Information System。網際網路技術學刊，1(1)，29-38。
22. 潘天佑(2011)。資訊安全概論與實務。台北市:碁峰資訊股份有限公司。

1. 陳仕弘(2023)。資訊安全威脅與治理政策之探討。管理資訊計算，12(特刊1)，1-12。