文中所提到利用健保署名義寄發補充保費明細的虛假連結,引誘民眾點選連結下載惡意程式者,即為所稱之「社交工程」。此類手法行之有年,通常都是利用民眾對於網路資訊安全意識薄弱的弱點,使民眾在不經意下誤觸陷阱。社交工程手段可能引發的結果多元,在裝置中植入惡意程式僅係其中的一項手法,若搭配不同的連結或執行檔,社交工程是有可能取得系統的管理權限,結果超乎想像。
一般來說,社交工程手段對於欠缺資訊安全懷疑觀念者,是很難防禦的。因為社交工程的最佳防禦方式,就是「再三懷疑,反覆查證」。以健保署的新聞為例,收到要首先思考:若沒有留過電子郵件給健保署,為什麼健保署會有郵件地址可以寄送郵件?又行政機關不同於坊間金融機構,關於費用的明細資料,又為何會用電子郵件寄送?又關於個人的補充保費,是否應先與投保單位(公司)先確認呢?又如果仔細查閱寄送人的電子郵件位址以及簽名檔,是不是有可能看出郵件位址的錯誤,抑或是否以電話詢問承辦人員信件之真偽等,均係民眾應立即懷疑之處。
或有讀者會說,我要是知道這些,哪會中計,就是不知道啊。那兆宇告訴您三項鐵則,可盡量確保平安。第一、關閉信件預覽功能;第二、不點選不明網址連結;第三、不確認電子郵件是否安全者,先放著幾天,利用搜尋引擎查詢信件主旨,會有人告訴你的。
你看,這新聞不是出來了。
撰文 ★林冠佑 主持律師
