自2011年開始,ASRC與中華數位科技就陸續接獲企業收到各種商業詐騙的郵件的回報。在2013年,這類商業詐騙郵件有明顯變多的趨勢。這些郵件不同於漫撒餌食無標的性的「奈及利亞詐騙郵件」,它的數量極少、時間點精確、收信對象清楚,郵件的內容都確實與公司正在、即將或例行執行的合約或交易有關,並且內容格式多半都與過去往來常用的格式一致。更有駭客直接攔截正在商談的商業郵件,複製其內容並竄改連絡管道資訊、匯款帳號資訊後,以移花接木的手法發出詐騙郵件。經過ASRC與中華數位合作追查發現,許多遭受商業詐騙攻擊的企業,都有內部資料外洩的問題,而主要外洩的管道是企業或私人的電子郵件信箱。電子郵件是許多企業在交易、商務往來賴以連繫的重要工具,許多人為了方便記憶,將電子郵件信箱的帳號密碼設得相當簡單,並且多年不換密碼,還將一個密碼通用於個人其它服務!這一些小小疏忽都足以為未來埋下後患。根據ASRC在2012年的調查,約有87%以上的企業存在弱密碼的問題,有弱密碼的企業帳號比例,平均大約佔企業所有帳號數目的6.03%,而且以公開的弱密碼字典檔,平均不到1小時,就可以猜中一個使用不安全密碼的帳號。許多電子郵件信箱的帳號密碼早已外洩許久,但取得帳號密碼的駭客並不會馬上發動「攻擊」,而是潛伏並悄悄讀著被竊電子郵件信箱內的重要信件,並靜待最好的時機寄出各種有利可圖的詐騙郵件。
當然,電子郵件信箱密碼外洩,也可能因為釣魚郵件內容的欺騙造成密碼外洩。這類釣魚郵件的內容,多半為電子郵件信箱已滿、服務故障,並偽造成像是系統管理者發出的郵件,它們很明顯的共通點是附上一個連往可輸入帳號密碼登入的詐騙網址。這類釣魚郵件可以透過垃圾郵件過濾設備資安意識的提高來避免;但若是密碼設定過於簡單、長久不變更、一個密碼用到底這樣的不安全習慣,24小時都可能曝露在被入侵或洩密的風險之下。
如何避免遭到各種詐騙、釣魚郵件而蒙受損失呢?除了企業建置相關的垃圾郵件過濾設備外,內部帳號密碼強度的定期稽核也是必要的。在個人的資安觀念上則需要記住一個最重要的原則,那就是「收到可疑郵件時,務必尋求其它管道再確認。」比方:在匯款前,除了仔細看清楚匯款帳號是否有可疑之處外,透過電話再次確認是不可少的;遇到郵件要求登入服務前,以電話或其它非郵件中提供的連絡管道與相關人員再次確認,都可以有效避免風險。
※關於ASRC垃圾訊息研究中心:
- 新聞稿有效日期,至2013/12/28 為止
■ 我在中國工作的日子(十四)阿里巴巴敢給股票 - 2023/07/02
■ 我在中國工作的日子(十三)上億會員怎麼管理 - 2023/06/25
■ 我在中國工作的日子(十二)最好的公司支付寶 - 2023/06/18
■ 我在中國工作的日子(十一)兩個女人一個男人 - 2023/06/11
■ 我在中國工作的日子(十)千團大戰影音帶貨 - 2023/06/04
■ 我在中國工作的日子(九)電視購物轉型電商 - 2023/05/28
■ 我在中國工作的日子(八)那些從台灣來的人 - 2023/05/21
■ 我在中國工作的日子(七)嘉丰資本擦身而過 - 2023/05/14
■ 我在中國工作的日子(六)跟阿福有關的人們 - 2023/05/07
Information
上一篇:恒實今日掛牌上市 具低成本優勢
下一篇:恆實礦業 佔地利優勢
