為提升公務機關同仁面對社交工程攻擊之資安防範意識,避免因疏於注意及防範遭攻擊成功,導致個人或公務資料遭竊取或被入侵機關內部網路之情事發生,請各單位(機關)轉知所屬確實依說明事項配合辦理,請查照。
說明:
一、依據本府109年度資通安全管理審查會議報告事項七及提案二之決議事項辦理。
二、因應社交工程攻擊管道廣泛且手段多樣,為加強同仁對社交工程攻擊之資通安全敏感度與警覺性,行政院資通安全處及本府每年皆會針對機關之公務用社交媒介進行攻擊演練,辦理方式分別如下:
(一)本府辦理社交工程演練標的為各機關所有同仁之公務信箱,演練不合格行為包含「開啟郵件」或「點擊連結或
下載夾帶檔案」(有上述任一行為即為不合格,且行為係個別計算)。
(二)行政院資通安全處所辦理社交工程演練標的包含全機關同仁公務信箱(抽測)及全機關正副首長(含縣府一級主管以上)之公務手機,公務信箱之不合格行為同前述標準,公務手機部分則以簡訊方式進行攻擊演練,不合格行為則以「點擊連結或下載夾帶檔案」判定。
三、請各單位(機關)同仁,不論公私領域,對於來路不明的訊息勿輕易信任而開啟檢視或下載/點擊連結網址,郵件本身、檔案或連結連結如遭有心人士加以利用,恐招致病毒感染甚至輕易被竊取個資、檔案或入侵內部網路等嚴重後果,務請加強宣導並謹慎警覺。
四、另鑑於簡訊攻擊演練曾有「開會通知」或「開會時間異動」等簡訊社交工程演練樣態,經本(109)年度資通安全管理審查會議討論並決議:
(一)爾後有相關會議時間異動或資料下載之通知,應運用電子郵件或即時通訊軟體群組通知為原則。
(二)請受通知人再次確認訊息來源確為本府公務信箱或其他可信任之通知人始可開啟點閱,檢視後仍須保持警覺並勿輕易點擊連結網址或下載檔案。
(三)如必須以簡訊方式通知,則應於簡訊內容明確說明相關會議資訊,避免以簡短主旨夾帶連結網址方式處理(運用範例及說明詳如附件)。
