Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了

各位同學,馬上就要放暑假囉,忙碌了一個學期後是不是想玩遊戲好好放鬆一下呢?然而,隨著手機遊戲的盛行,衍生的遊戲糾紛也愈來越多,像是透過手機遊戲盜取使用者身分或信用卡資料等案例層出不窮,因此,議程中將為各位介紹常見的社交工程攻擊方式及預防方法,喜歡玩網路遊戲的同學們,千萬不要錯過哦!

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

HITCON GIRLS 資安萌芽推廣 2017: 還能不能好好玩遊戲了

  1. 1. 資安萌芽推廣:社交工程 還能不能好好的玩遊戲了! 虎虎 / 劉家如
  2. 2. 還能不能的好好玩遊戲了!  網路交友社交工程  社交攻擊手法案例  手機程式遊戲陷阱  補充教材 & Q&A
  3. 3. 。敦陽科技 資安專業服務處 資安顧問 。HITCON GIRLS Web PT 組長 。原始碼檢測 & 弱點掃瞄 & 滲透測試 。8 年程式開發經驗 & 2 年資安社群經驗 。2017 iT 邦幫忙鐵人賽 資安x系統x絕對領域 。ViolinTiger@gmail.com 虎虎 3
  4. 4. 網路交友社交工程
  5. 5. 網路交友真假不明 5
  6. 6. 網路交友的浪漫 6 身份冒充是網路社交工程的基本手法
  7. 7. 利用人性的弱點的手法 7
  8. 8. 社交工程的目的?
  9. 9. 社交工程目的 騙點擊 騙流量 騙廣告 騙下載 9 植木馬 偷資料
  10. 10. 因為可以賺廣告費啊 =v=+ 資料來源:冏星人 10
  11. 11. 惡意連結 & 惡意檔案 & 轉寄信 社交工程 郵件簡訊 收到簡訊或電子郵件 開啟時自動下載來源 11 偷偷下載惡意程式 或開啟惡意連結 防禦方式:預設改為純文字格式格式
  12. 12. 偽裝的惡意程式:反向檔名 12
  13. 13. 反向檔名 13  Unicode字元檔名  LEFT-TO-RIGHT OVERRIDE (U+202D)  RIGHT-TO-LEFT OVERRIDE (U+202E)  例:putty(RLO字元)gpj. exe
  14. 14. 社交攻擊手法案例 • 網路釣魚 • 手法案例 • 防禦方式
  15. 15. 網路釣魚 技術門檻低 使用者大意 相似的網址 相似的內容 利用誘人的內容欺騙使用者點擊到偽造網站,使用者輸入機密資料後,即遭竊。 偽造網站
  16. 16. 暑假打工求職陷阱多 16
  17. 17. 一恍神就會眼花 17 http://www.microsoft.com http://www.rnicrosoft.com 那 www.micosoft.com呢?
  18. 18. 垃圾翻找
  19. 19. 網路資訊暴露蒐集 19
  20. 20. 垃圾翻找:很傻很天真 20 陳冠希表示曾將他家中的桌上型及筆記型電腦, 送給香港一家工作室修理。他相信,電腦行的人, 一定偷盜了他電腦中的資料,侵犯他的隱私。 陳冠希表示,他從未將個人密碼告訴過任何人, 2006年夏天,電腦送修前,他也將電腦中的影像 全部清除,但卻不知道,僅將文件刪除丟進垃圾 筒,但有辦法的人,還是能找回被刪除的文件。
  21. 21. 垃圾翻找:預防 21
  22. 22. 偷窺強記
  23. 23. 偷窺強記:你記不住密碼嗎? 23
  24. 24. 偷窺強記:你記不住密碼嗎? 24
  25. 25. 尾隨
  26. 26. 提醒大家離座隨手登出電腦 27
  27. 27. 取得密碼的惡意行為 Chrome://settings/passwords 28
  28. 28. 借姪女手機 慘遭盜刷16萬買點數 29 資料來源:自由時報
  29. 29. 尾隨預防:隨手關門 30
  30. 30. 冒充身份
  31. 31. 周杰倫傳訊息給你 32 臉書分身帳號多達 30 個以上…
  32. 32. 欺騙親友 33
  33. 33. 帳號盜用:密碼簡單 34 Facebook 創辦人懶人密碼:dadada
  34. 34. 今天的我沒有隱私~ https://www.insecam.org/ 35
  35. 35. 存取權限
  36. 36. 應用程式的存取權限 37
  37. 37. 臉書隱私權限設定 38
  38. 38. 知名應用程式濾鏡照片套用新海誠風 39 資料來源:數位時代
  39. 39. 要求權限多,小心隱私安全 40 資料來源:《香港01》
  40. 40. 防禦方式:釣魚網站和跨站腳本 41  不點擊不明來源網站  注意網址拼寫  注意網址是否屬於官方網站  不直接直接點擊網站連結  不點擊不明網站的彈跳視窗  安裝即時監控的防毒軟體 保持警覺心!!!
  41. 41. 隨時具備危機意識 • 任何詢問隱私資料的人士, 都需小心求證 權限分級控管 • 非個人分內事宜,不應掌 控帳號、密碼等權限 安裝防毒軟體 • 設定個人防火牆 • 定期更新病毒碼 更新應用程式/作業系統  保護個人資料意識  設定安全密碼  定期更換密碼  加密防護  加密重要資料檔案  相信直覺 • 多方驗證  發生社交工程事件 • 立即回報確認 防駭小撇步 42
  42. 42.  設定  關閉「公開ID」功能  不允許手機通訊錄自動加入好友  不允許LINE AP 讀取你和好友的個人資料  關閉「允許自其他裝置登入」  使用習慣  不在公用電腦登入,登入後記得登出  不同平台使用不同之帳號密碼  定期更新密碼 防駭小撇步-LINE 43
  43. 43.  設定  啟用加密連線 帳號保全→安全性設定→安全瀏覽  寄送未知設備登入通知 帳號保全→安全性設定→登入通知  啟用登入認證許可及代碼產生器 帳號保全→安全性設定→登入許可 帳號保全→安全性設定→代碼產生器 防駭小撇步-Facebook 44
  44. 44. 手機程式遊戲陷阱
  45. 45. 第三方下載平台 46  知名防毒公司  4.7 星評價  超過10,000下載
  46. 46. 執行應用程式 47
  47. 47. 所以這隻防毒程式是來幹嘛的?
  48. 48. 常見山寨應用程式類型 49  熱門遊戲  手機工具  金融購物  社交通訊  媒體影片  攝影修圖  音樂音效  旅遊運動 重新包裝再上架
  49. 49. 手機病毒 / 攻擊最常見的來源 50 資料來源:TechNews  惡意程式  惡意連結  連結到受感染的裝置  訊息的附加檔案  藍牙  語音信箱  不安全的WiFi
  50. 50. 手機病毒惡意行為 51 7.11 7.84 8.75 17.97 20.97 22.28 22.67 27.13 40.13 誤導操作造成流量大增 安裝惡意程式 無提示透過手機消費 背景下載其他推廣工具 竊取用戶隱私資訊 背景下載其它惡意程式 無法開關機自動啟動 無提示自動發送簡訊 無提示大量消耗流量 資料來源:就是教不落  耗費資源  非法扣款  偷取隱私  盜取權限
  51. 51. 耗費資源 流量.耗電.空間.風險 52
  52. 52. 惡意廣告 53
  53. 53. 惡意廣告 54
  54. 54. 正常連線 登入應用程式或網站 驗證成功!給 Cookie 認證 專屬 Cookie 認證執行 55
  55. 55. 惡意廣告轉址至惡意網站 成功登入應用程式或網站 驗證成功!給專屬 Cookie 惡意廣告 被誘導至惡意網站 發送對應用程式的轉帳命令 URL &To=Tiger&Amt=1,000 Amt = 10,000 56
  56. 56. 阻斷服務攻擊(DDos) 成功登入應用程式或網站 驗證成功!給專屬 Cookie 惡意廣告 被誘導至惡意網站 Amt = 10,000 57 發送對應用程式的轉帳命令 x100000000000000
  57. 57. 資料來源:新唐人 手機變殭屍 駭客攻擊新威脅 58
  58. 58. 行動裝置應用程式定期更新 59 資料來源:中央通訊社
  59. 59. 低功率藍芽與物聯網產品的安全 2017 HITCON CMT 08 /25 & 08 / 26
  60. 60. 行動裝置防護建議
  61. 61. 行動裝置安全守則  沒有遺失.沒有傷害  定期備份及資訊保護  更新版本以防禦漏洞  密碼不使用懶人密碼  不安裝不明來源軟體  不要直接綁定信用卡  取消小額付款機制  養成良好使用習慣  加強社群存取存限  安裝手機防毒軟體
  62. 62. 結論  駭客技術進步,入侵手法多變,資訊流通管道 眾多,需要更多的資安宣導與更多資安技術的 介紹才能及時發現駭客的意圖與洞悉駭客的手 法  電腦世界的每種新技術背後,都有一定安全隱 憂,惟有政策規範,技術防治與人員的認知與 執行,才能有效防範資訊安全的問題
  63. 63. 最後再讓我默默的進入主題 =v=+
  64. 64. 還能不能好好玩遊戲了!!!
  65. 65. 激情
  66. 66. 熱血
  67. 67. 剌激 公司公告: 近期有玩家至公司 示威行動,請各位 同仁上班注意安 全。
  68. 68. 玩家互看不爽儲值千萬爭台幣戰士 資料來源:鍵盤大檸檬
  69. 69. 不玩退坑!課金400萬玩家砍帳號
  70. 70. 沉迷線上遊戲 女子超商偷點數包 資料來源:中時電子報
  71. 71. 玩家被凍結帳號 提告討不回 資料來源:遊戲角落
  72. 72. 為什麼會被盜呢?
  73. 73. Q & A
  74. 74. 補充教材:手機遺失與定位
  75. 75. 手機遺失了怎麼辦? (Android) https://www.google.com/android/devicemanager
  76. 76. 手機定位記錄 (Google ID) https://maps.google.com/locationhistory
  77. 77. 手機遺失了怎麼辦? (Apple ID) https://www.icloud.com/
  78. 78. 手機定位軌跡(Apple ID)
  79. 79. 手機遺失備案 81 靜候佳音
  80. 80. 謝謝大家:)

    Be the first to comment

    Login to see the comments

  • ssuser49a094

    Oct. 30, 2017
  • wimterdom

    Apr. 6, 2019

各位同學,馬上就要放暑假囉,忙碌了一個學期後是不是想玩遊戲好好放鬆一下呢?然而,隨著手機遊戲的盛行,衍生的遊戲糾紛也愈來越多,像是透過手機遊戲盜取使用者身分或信用卡資料等案例層出不窮,因此,議程中將為各位介紹常見的社交工程攻擊方式及預防方法,喜歡玩網路遊戲的同學們,千萬不要錯過哦!

Views

Total views

2,146

On Slideshare

0

From embeds

0

Number of embeds

1,566

Actions

Downloads

38

Shares

0

Comments

0

Likes

2

×