题名

組織社交工程行為之研究-以委託C公司為例

并列篇名

A Study of the Organizational Social Engineering Behavior–An Example of Entrusted C Company

DOI

10.6846/TKU.2016.00655

作者

王思惠

关键词

資訊安全 ; 網路釣魚 ; 社交工程 ; Information Security ; Phishing ; Social Engineering

期刊名称

淡江大學資訊管理學系碩士在職專班學位論文

卷期/出版年月

2016年

学位类别

碩士
导师

黃明達
内容语文

繁體中文
中文摘要

近年來「社交工程(Social Engineering)」是最難防範的攻擊手法之一,社交工程利用人性缺乏警覺性或存在好奇心的弱點進行詐騙及釣魚,通常使用電話、電子郵件、假冒身分方式,用以取得受騙者個人資料、帳號密碼、金錢等利益。 本研究藉由電子郵件社交工程,探討政府/教育/電信/金融/物流機構在電子郵件社交工程點選信件類型偏好、點選時間差異、點選趨勢及點選前三名等,進行行為分析。 本研究社交工程信件分類共12類,點選前三名分別為:健康(16%)、科技(14%)、時事(13%),推論國人較重視健康類型資訊。點選方式排名依序為:開啟信件(74%)、開啟附檔(19%)、點擊URL(7 %),此為開啟信件時,預設自動下載圖片或自行下載圖片瀏覽信件。各機構點選率排名:物流(221%)、金融(218%)、電信(83%)、教育(30%)、政府(2%),此由於物流機構2015年開始進行社交工程測試,點選人員較未受過相關資安認知課程,故點選率較高。
英文摘要

Social engineering is one of the attacks that are the most difficult to prevent in recent years. It takes advantage of people’s vulnerability such as the curiosity or the lack of alert awareness to perform fraud or phishing. It gets the profits from the victim, such as the personal information, account, password, and money through phone call, Email, and fake identity. With case study method, the study explores the preference of clicking mail types, difference of clicking time, clicking trend and top three clicking items of the government/education/telecom/finance/logistics institutions in Email social engineering, so as to conduct behavioral analysis. The top three among the 12 categories of social engineering mails classified by the study are: health (16%), science and technology(14%), and news(13%). It indicates that the citizens value the information related to health. The clicking mode ranks are: open letter (74%), open the attached file (19%), and click URL (7%).The clicking rate ranks of the institutions are: logistics(221%), finance(218%), telecom(83%), education(30%), and government(2%).
主题分类 商管學院 > 資訊管理學系碩士在職專班
社會科學 > 管理學
参考文献
  1. 7. 林士凱(2014)。以資訊安全觀點探討影響醫師使用電子病歷之研究(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號102CCU00777006)
    連結:
  2. 10. 林維國(2012)。從惡意電子郵件攻擊樣本探討未來我國政府機關社交工程演練之方向–以A機關為例(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號100NCU05396014)
    連結:
  3. 13. 胡聖良(2012)。影響使用者遭受社交工程誘導因素之研究(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號100CCU00396008)
    連結:
  4. 14. 高大宇、曾俊傑、王旭正(2011)。基植管理循環為基礎之社交工程事件分析研究。前瞻科技與管理,1,85-98。
    連結:
  5. 15. 張錫鈴(2010)。電子郵件社交工程與資訊安全認知行為之研究探討-以某企業為例(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號098NYPI5396020)
    連結:
  6. 21. 廖釗頡(2010)。網路釣魚被害類型及其成因(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號098NTPU0102074)
    連結:
  7. 23. 潘文涵、吳幸娟、葉志嶸、莊紹源、張新儀、葉乃華、謝耀德(2009)。台灣人飲食與健康之趨勢:1993-1996與 2005-2008營養健康調查之比較。2005-2008台灣營養健康調查成果發表會,台北。
    連結:
  8. 3. Cynthia D., Dhinaharan N., & Jae-Kwang L.(2010). Multilayer Approach to Defend Phishing Attacks. 網際網路技術學刊, 11卷3期, 417-425. doi:10.6138/JIT
    連結:
  9. 5. Dodge, R. C., Carver, C., & Ferguson, A. J. (2007). Phishing for user security awareness. Computers & Security, 26(1), 73-80.
    連結:
  10. 8. Gowtham, R., & Krishnamurthi, I. (2014). A comprehensive and efficacious architecture for detecting phishing webpages. Computers & Security, 40, 23-37.
    連結:
  11. 9. Hadnagy, C. (2010). Social engineering: The art of human hacking. John Wiley & Sons.
    連結:
  12. 13. Kritzinger, E., & von Solms, S. H. (2010). Cyber security for home users: A new way of protection through awareness enforcement. Computers & Security, 29(8), 840-847.
    連結:
  13. 15. Mitnick, K. D., & Simon, W. L. (2011). The art of deception: Controlling the human element of security. John Wiley & Sons.
    連結:
  14. 16. Peltier, T. R. (2006). Social engineering: concepts and solutions. Information Systems Security, 15(5), 13-21.
    連結:
  15. 20. Topçu, S., & Metin, B. (2011). Organizing COBIT control objectives for effective information technology compliance. In 2011 IEEE 12th International Symposium on Computational Intelligence and Informatics (CINTI), pp. 461-464.
    連結:
  16. 24. Wilson, M., & Hash, J. (2003). Building an information technology security awareness and training program. NIST Special publication, 800, 50.
    連結:
  17. 25. Workman, M. (2007). Gaining access with social engineering: An empirical study of the threat. Information Systems Security, 16(6), 315-331.
    連結:
  18. 26. Workman, M. (2008). A test of interventions for security threats from social engineering. Information Management & Computer Security, 16(5), 463-483.
    連結:
  19. 27. Workman, M. (2008). Wisecrackers: A theory‐grounded investigation of phishing and pretext social engineering threats to information security. Journal of the American Society for Information Science and Technology, 59(4), 662-674.
    連結:
  20. 一、 中文文獻
  21. 1. Openfind(2014年12月09日)。2014 第三季Openfind 郵件威脅分析報告【部落格文字資料】。取自http://www.openfind.com.tw/taiwan/news_detail.php?news_id=4779
  22. 2. Trend Labs 趨勢科技全球技術支援與研發中心(2014年7月14日)。《APT 攻擊》91%的目標攻擊利用電子郵件作為進入點【部落格文字資料】。取自http://blog.trendmicro.com.tw/?tag=apt-%E7%A4%BE%E4%BA%A4%E5%B7%A5%E7%A8%8B%E4%BF%A1%E4%BB%B6
  23. 3. 台北富邦銀行(無日期)。如何辨識詐騙郵件【線上論壇】。取自https://ebank.taipeifubon.com.tw/B2C/cgequ/cgequ006/CGEQU006_Home.faces,上網日期:2015年12月20日。
  24. 4. 行政院科技顧問組(2010)。2010資通安全政策白皮書。臺北市:行政院。
  25. 5. 何幼德(2015)。企業員工認知因素對社交工程攻擊行為之影響(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號103YZU05586003)
  26. 6. 余建輝(2011)。社交工程對公部門資訊安全管理影響之研究(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號100DYU01121215)
  27. 8. 林志穎(2013)。以社會網絡、制度理論探討社交工程之電子郵件使用行為模式(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號101NPUS5396058)
  28. 9. 季祥(2014)。APT攻擊對企業資安政策之影響(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號102PCCU1396032)
  29. 11. 林蕙君(2013)。惡意郵件社交工程防範作業有效性之研究(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號101NSYS5396044)
  30. 12. 胡統善(2014)。從社群網站使用者行為模式探討社交工程手法與防制作為(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號103NDU00654016)
  31. 16. 章友萱(2009)。組織落實資訊安全之行為模式研究—以T公司電子郵件社交工程演練為例(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號098NTUS5396065)
  32. 17. 陳雅琪(2014年2月)。上班族當心!躲開5種駭客劫。Cheers雜誌,161,16。
  33. 18. 陳銘言(2009)。社交工程電子郵件攻擊之使用者行為模式分析(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號097FJU00396029)
  34. 19. 陳嘉玫(2011)。網路安全的社交工程。科學發展,461,16-23頁。
  35. 20. 游千慧(2009)。以制度理論探討郵件社交工程演練之行為模式(碩士論文)。取自臺灣碩博士論文知識加值系統。(系統編號098NTUS5396037)
  36. 22. 維基百科(無日期)。資訊安全【線上論壇】。取自https://zh.wikipedia.org/wiki/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8,上網日期:2015年12月03日。
  38. 二、 英文文獻
  39. 1. APWG (2015). Global Phishing Survey: Trends and Domain Name Use in 2H2014. Retrieved from http://docs.apwg.org/reports/APWG_Global_Phishing_Report_2H_2014.pdf
  40. 2. Anti-Phishing Working Group (2015). Phishing Activity Trends Report-4Q2014. Retrieved from http://docs.apwg.org/reports/apwg_trends_report_q4_2014.pdf
  41. 4. Dhamija, R., Tygar, J. D., & Hearst, M. (2006, April). Why phishing works. In Proceedings of the SIGCHI conference on Human Factors in computing systems (pp. 581-590). ACM.
  42. 6. EMC Corporation (2014). 2013 A Year in Review. RSA Monthly Online Fraud Report-January 2014.Retrieved from http://www.emc.com/collateral/fraud-report/rsa-online-fraud-report-012014.pdf
  43. 7. Evans, Nathaniel Joseph (2009). Information technology social engineering: An academic definition and study of social engineering - analyzing the human firewall (Doctoral dissertation). Available from ProQuest Dissertation and theses database. (UNI No. 3369832)
  44. 10. IBM. (2014). IBM Security Services 2014 Cyber Security Intelligence Index. Retrieved March 6, 2015, from http://www-935.ibm.com/services/us/en/it-services/security-services/2014-cyber-security-intelligence-index-infographic
  45. 11. ISO/IEC, (2013). ISO/IEC 27001:2013 Information technology -- Security techniques -- Information security management systems -- Requirements. Geneva, Switzerland: ISO/IEC.
  46. 12. Kak, A. (2010). Mounting Targeted Attacks with Trojans and social Engineering-Cyber Espionage. Lecture Notes on Computer and Network Security. http://cobweb.ecn.purdue.edu/~kak/compsec/NewLectures/Lecture29.pdf
  47. 14. Luo, X. R., Brody, R., Seazzu, A., & Burd, S. (2013). Social Engineering: The Neglected Human Factor for Information Security Management. Managing Information Resources and Technology: Emerging Applications and Theories: Emerging Applications and Theories, 151.
  48. 17. Ramgovind, S., Eloff, M. M., & Smith, E. (2010, August). The management of security in cloud computing. In Information Security for South Africa (ISSA), 2010 (pp. 1-7). IEEE.
  49. 18. Sahu, K. R., & Dubey, J. (2014). A survey on phishing attacks. International Journal of Computer Applications, 88(10).
  50. 19. Stone-Gross, B., Abman, R., Kemmerer, R. A., Kruegel, C., Steigerwald, D. G., & Vigna, G. (2013). The underground economy of fake antivirus software. In Economics of Information Security and Privacy III (pp. 55-78). Springer New York.
  51. 21. US-CERT (2013).Technical Trends in Phishing Attacks. Retrieved from https://www.us-cert.gov/security-publications/technical-trends-phishing-attacks
  52. 22. US-CERT (2013). Why is Cyber Security a Problem? Retrieved from https://www.us-cert.gov/ncas/tips/ST04-001
  53. 23. Wikipedia. (n.d.). Social engineering [Online forum comment]. Retrieved from https://en.wikipedia.org/wiki/Social_engineering_(security) , accessed 2015/12/03.
  54. 28. Wu, M. (2006). Fighting Phishing at the User Interface (Doctoral dissertation). Available from ProQuest Dissertation and theses database. (UNI No. 0818189)
print cancel