主旨:「109年度臺灣學術網路防範惡意電子郵件社交工程演練」宣導公告
說明:
一、依教育部臺教資(四)字第1090071941號函,「109年度臺灣學術網路防範惡意電子郵件社交工程演練服務計畫」訂於6月-11月期間進行2次演練。
二、上半年演練已經開始進行,敬請各位主管及同仁們對不認識之寄件者的信件務必提高警覺,非公務信件最好刪除。
三、本年度演練受測人員:
(一)主管、一般行政人員、教師。
(二)演練提報名單:本校109學年度在職教職同仁。
(三)「具備本校郵件帳號相關人員」,身分不侷限於正職人員。
(四)不包含本校學生。
四、演練時程:109年6-11月期間進行2次演練,上半年演練已於6月初開始,下半年演練於9月-11月期間進行。
五、演練方式:教育部集中辦理,隨機選取(主管占40%/一般行政人員占60%),每人每次演練寄送10封。
六、宣導課程分兩階段辦理:
(一)第一階段(演練時):針對所有行政人員,全面性實施教育訓練。
(二)第二階段(演練後):針對測試成功之人員再次進行個別教育訓練加強宣導,以強化其警覺性。
七、演練型態
(一)由教育部資科司以偽冒公務、個人或公司行號等名義發送公務、個人或公司行號等名義發送惡意郵件給演練對象,郵件主題分為政治、公務、健康養生、旅遊等類型,郵件內容包含連結網址或WORD附加檔。
(二)本項測試作業之測試信件寄件人名稱均為偽造,用來測試受測人對寄件人名稱是否合理的辨識能力。
八、測試成功定義
(一)開啟信件:信件透過預覽或點開方式開啟,且信件本文內所含圖片亦完成圖片下載之動作,始認定為測試成功。若郵件系統預設之安全設定為「不會自動下載圖片」,即使預覽功能設定為開啟,或直接打開測試信件,因無下載圖片之動作,不會造成安全漏洞,將不會記錄為測試成功。
(二)轉寄信件:無論在各種郵件系統開信(Outlook、Webmail)或轉寄至其他信箱(如:gmail、yahoo、hotmail等),都會被登錄為測試成功。
(三)點選連結:點選信件內文中之連結網址,將被記錄為測試成功。請注意,即使在純文字模式下開啟信件不會觸發信件連結,可達到防止惡意信件的目的,但卻又將信件內文中的連結網址複製到瀏覽器中開啟,同樣會被記錄為測試成功。
(四)開啟附檔:開啟信件內文中之附檔,將被記錄為測試成功。
九、詳細說明及108年演練郵件範本請參閱附加檔
十、本項公告資訊,轉貼自台南藝術大學資訊處公告資訊。