潘后儀

從 11 月 5 日開始全民普發現金 1 萬元的登記，11 月 12 日政府也將陸續發放現金，這段時間政府不遺餘力透過多方管道，提醒民眾避免遭受詐騙與遭受個資被竊的宣導。幾個星期前，數位發展部資通安全署署長蔡福隆在記者會上說，從政府機關、企業單位到社會大眾，提醒資訊安全與打詐防詐的訊息，永不嫌少。接下來，我將從當天記者會以「防範社交工程，守護全民資安」為核心的內容分享給大家。

記者會由數發部資安署李昱緯主任進行簡報內容，內容的分享對於任職機關單位、企業組織的IT資訊、資安人員，這是初階且基本的訊息，但是對於社會大眾、我們的家人、朋友們而言，這場記者會的內容既實用且能夠於第一時間自我保護守住個資與金錢，我希望大家閱讀後，也可透過自身的口述或是文章轉分享給你的家人與朋友。

一場「人性與心理」的操作遊戲

當有心人士透過社交工程攻擊手法與你接觸，毫無疑問對方就是要與你進行一場「人性與心理」操作遊戲，我們每個人都有好奇心、同情心、欲望、貪婪，以及對他人的信任感，這些多重情感交錯存在我內心裡，且強弱程度不一。李昱緯表示目前最常見的社交工程詐騙手法是透過郵件與簡訊的方式，詐騙者會透過發送電子郵件或是傳送手機簡訊給你，並且從所發送的訊息主旨、內容或是內容裡的連結網址，做為「誘餌」，誘導你毫無警覺的主動交出個人重要且機敏的資料或是金錢，這就是詐騙者(或是詐騙集團)最常使用的手法，操作人性的心理與情緒之弱點。

揭露詐騙者採用「社交工程手法」三大目的

李昱緯進一步說明，有心人士以社交工程手法來與你接觸，主要目的為，竊取你的資料、騙取你的金錢，以及控制你的電腦成為駭客所利用的工具。

• 騙取你的金錢
  偽冒政府機關，發送信件或是簡訊給你，例如，交通違規的繳款通知訊息且內文還附上偽冒政府的網站或是連結，讓你點進連結後，主動將個人重要的資料，例如住家地址、出生年月日、身分證號碼、車牌號碼，以及銀行信用卡資料、密碼等。有心人士不僅騙取你的金錢，也同時收集你的個人資料，進行其他惡意行為的利用。
  
• 竊取你的個人資料
  例如偽冒政府簡訊，兩年前( 2023 )政府宣布普發現金 6,000 還稅於民，當時就出現偽冒政府的簡訊且簡訊的連結至惡意網站，誘使民眾輸入個資或帳密。你不只金錢被騙走，個資也同時一併被竊。
  
• 控制你的電腦，成為駭客所利用的工具
  當我們在網站下載免費軟體使用，例如通訊軟體 Line、Skype、Teams 等，駭客會利用與通訊軟體名稱相近的網址 (例如，linekr.com、skypezh.com、teansms ) 欺騙你點擊後執行惡意程式，你的電腦就變成駭客拿來攻擊別人的跳板，或是郵寄給你的信件附上經過密碼加密的壓縮檔給你，並且藉由圖片方式的密碼，提供你進行解壓縮檔案，當你點擊解壓縮檔案後，惡意程式則在你的電腦內同步執行，並連線至駭客所控制的中繼站，進而劫持個人設備，你則成為駭客進行壞事過程中被利用的工具之一。
  
  

做到自我保護三步驟 將可避開詐騙與金錢損失

知道有心人士透過社交工程手法的目的，我們又該如何第一時間覺察與識破其真偽呢 ? 數發部資安署提供給自我資安防護三步驟，口訣為「停、看、聽」。

第一步「停」

以信件為例，當你收到信件時，先不急著打開信件，甚至連預覽信件的動作都該停止。

第二步「看」

辨識信件的寄件者、主旨與你自身的關聯性是否一致，當有所疑慮或是確認此信件為社交工程手法，千萬別點開信件。簡訊方面，則是辨識簡訊的文字語氣是否過於急迫、有情緒化的文字，或是文法、用字上的錯誤，如果有附帶網址，也要檢查此網址是否為正常呈現，再者是否有要求你提供個人重要的敏感資料或是支付金錢的內容，此狀況你更需要冷靜且停止回應。

第三步「聽」

已經察覺且經過辨識出自己收到的是可疑郵件或是簡訊，除了不開啟不點擊與不回應，一律刪除外，你也可以進入第三步驟，通知相關單位處理或通報，可撥打 165 反詐騙諮詢專線 進行諮詢、檢舉或報案。大家也可多利用 <數發部網路詐騙通報查詢網 >。但是，假使你已遭到受騙，請儘快撥打165或至165官方網站進行網路報案。

即便雙重小確幸開心之餘 自身金錢也需顧守好

今天 11 月 11 日正是歷時超過十五年的 1111 購物節的到來，明日也是政府 11 月 12 日陸續發放還稅於民現金1萬元的時間，雙重小確幸時刻正是購物熱潮，尤其網路購物已達顛峰時刻，提醒大家凡是在網路上購物以及網站付款要求的訊息，須更為謹慎些，多次確認再執行，以確保自身的個人資料與財務安全。同時，也再次提醒大家，數發部呼籲今年普發現金的唯一官方網站為 10000.gov.tw  ，政府「不會」主動透過任何手機簡訊或電子郵件通知民眾登記或領取現金，更「不會」致電要求民眾到ATM或操作網路銀行辦理任何轉帳作業。

相關文章

11月5日普發現金，線上登記正式啟動，數發部宣布普發現金的唯一官方網站為 10000.gov.tw

打詐專法 > 以 Meta 為例 – 加速「詐騙訊息下架」，數發部推流程電子化

上星期四( 9 月 11 日 )參加國家資通安全研究院( 以下簡稱，資安院 )發布「資安週報」記者會，記者會前夕，我與幾位長期深耕資安產業的朋友聊到「資安週報」的議題，大家居多給予正向回應，表示「不錯，有個中性且聚焦的固定平台，進行訊息發布」、「資安儀表呈現的類別指標是長期被受關注的」、「圖文搭配且圖表的指數呈現，讓管理者不僅快速聚焦且針對風險的警示，一目了然」等等。

「資安週報」將威脅資訊與防護經驗，轉化為具體數據與分析

資安署、資安院面對各產業機關與企業，如同「治理」與「管理」彼此權利義務的互動。治理者提供具體方向與框架，並適時提供指導；管理者則是落實執行治理者所提供的方向且讓其有效運作。

記者會資安院表示，「資安週報」以彙整並分析政府骨幹網路（GSN）情資、國際資安情資及 TWCERT/CC 通報等數據，建構涵蓋事前預警、事中事件追蹤與事後風險分析的資安觀測。

文字與數據圖表相互搭配是「資安週報」特色之一，此外資安週報數據的呈現不僅是資安威脅狀態的指標依據外，也可成為資安人員透過數據來檢視，其管理機關或是企業資安優劣狀況的參考。資安院也說明發行「資安週報」的目的，則是將政府觀測到的威脅資訊與防護經驗，轉化為具體數據與分析，讓資安人員能及時調整技術防禦措施，並提供中高階主管進行風險評估與資源規劃的參考。

資安院「資安週報」內容架構 : 5 + 1

資安院「資安週報」資安儀表板以五類量化指標呈現，分別為:

1. 聯防監控
   呈現近一週以MITRE ATT&CK Matrix分析攻擊者行為，提醒公務機關留意攻擊趨勢變化。
   
2. 事件通報
   呈現近一週公務機關資安事件通報之類型與數量，同時包含民營機構依規定揭露重大資通安全訊息。
   
3. 蜜罐誘捕
   近一週誘捕系統所捕捉到的攻擊樣態趨勢變化以及所利用的弱點趨勢。資安院研究人員也會提出針對近一週所發現的重大弱點資訊，並且建議組織內部進行檢查與修補。
   
4. 外部曝險分析
   經由外部檢測政府機關資通安全狀況，例如使用EASM工具或實兵演練，及早發現曝露於外部網路之風險類型項目。外部曝險分析是非侵入式的檢測，經常用於供應鏈管理，此外，資安院長林盈達也表示，目前政府A、B級55個公部門單位，以及55個特定非公務機關，每兩週採以輪替方式進行外部網路曝險檢測。
   
5. 網路巡察高風險詐騙
   追蹤詐騙訊息與手法演變，掌握政府機關實施之打詐政策與機制，是否達成其控制目標。例如Meta 、Line私人群組等，社交網路平台上的追蹤與打詐。

「資安週報」資安儀表板除了文字與數據圖表的說明與分析外，同時也提出防護建議的內容，此外每篇週報的最後一個單元，焦點文章，一週聚焦一則時事或趨勢的主題進行分享，例如最新一期的焦點文章分享《歐盟網路安全儲備機制將啟動：⾸批可信託管安全服務提供者公布》。

最後，資安院強調，資安週報的核心價值在於以數據推動資安治理，隨著資料逐步累積與分析模式成熟，未來將進一步轉化為治理、防護與應變三大指標，並這些成果將逐步匯入「資安治理戰情牆」，協助政府更直觀掌握治理成熟度，提升決策效率與精準度。

「資安週報」是持續維繫與機關和企業單位從事資安相關人員的一個互動平台。兩個月前，資安院已發行試刊號，共八期，直到上週四 ( 9月11日) 發行第九期並且對外正式發布「資安週報」，9月底資安院將提供大家進行訂閱的管道，日後「資安週報」將定期主動寄送給訂閱戶，除了可以使用網頁版閱讀外，還有 PDF 電子檔全文下載閱讀。歡迎大家瀏覽「資安週報」，並密切留意資安院官網:

https://www.nics.nat.gov.tw/core_business/information_security_information_sharing/cybersecuritynews/