無論是任何行業或規模大小,所有企業與組織都處於網路攻擊的威脅之下。網路攻擊所導致病毒感染及資訊外洩等危害,有時是因為公司員工無心的行為所導致,為了保護工作單位及客戶遠離網路攻擊。為您介紹員工應掌握的資安基本知識。
🔻 企業與組織的網路攻擊威脅
🔻 目標式攻擊的起點,從員工收到郵件時開始
🔻 公司員工業務上的服務帳號被盯上
🔻 慎重使用社群網站
🔻 企業與組織的網路攻擊威脅
瞄準企業與組織的網路攻擊的氣勢絲毫未減。趨勢科技調查顯示,瞄準企業與組織的網路攻擊的氣勢絲毫未減。趨勢科技調查顯示,約8成的組織於2019年4月至2020年3月為止曾經歷過某種資安上的事件。其中「收到過釣魚詐騙郵件」佔42.8%為首位;「收到過商業郵件的詐騙郵件」佔29.1%;「連結上非法網站」佔26.5%,;「目標型攻擊」佔22.2%。
網路攻擊所導致惡意病毒的感染(病毒等非法程式的總稱)及資訊外洩等的事故,也有可能是由於經營層與員工的疏忽所造成的。為了保護工作單位不受網路攻擊,請掌握所需的安全知識。
🔻 目標式攻擊的起點是從員工收到郵件時開始
大多數覬覦企業及組織的網路攻擊都是從員工收到郵件的那一刻開始。讓我們看看以下發生的實際案例。
● 商務電子郵件詐騙 **
變臉詐騙攻擊或稱為商務電子郵件入侵,BEC)是指,偽裝成公司幹部或客戶將郵件發送給公司員工,藉此騙取金錢及資訊的手法。例如,有一種模式是偽裝成公司最高職位負責人發送匯款郵件給會計負責人,指示匯款至網路犯罪者管理下的帳號。這樣的郵件大都寫著「要求緊急匯款」「絕密」等需要緊急處理的機密案件的內容,並給收件人施加壓力,使其快速且秘密地匯款。同時,也確認到了在偽裝成客戶的郵件內附上假的請款帳單,並要求更改匯款帳號的手法。
BEC詐騙也會騙取業務郵件帳號資訊,網路犯罪者的目的是,藉由竊取業務郵件來偷窺郵件的內容,並冒充傳送郵件。在業務郵件上使用雲端服務的員工,請留意網路犯罪者會偽裝成系統負責人或服務業者等傳送「需要重新登入業務郵件系統」「密碼的期限即將到期」等誘導郵件。那個說不定就是引您入釣魚詐騙網站的陷阱。
圖:偽裝成Microsoft365的釣魚詐騙郵件的案例,偽稱以要延長密碼為由誘導進入假的網站
● 目標式攻擊 **
目標式攻擊是指,以竊取重要的資訊為目的,對於特定的企業長期進行一系列攻擊。攻擊者使用所有的手段・手法,為了達成目的會持續攻擊所覬覦的目標組織。典型的攻擊模式會藉由傳送遠端操作工具至員工的電腦入侵網際網路,竊取資訊,並讓覬覦目標的裝置下載其他惡意軟體。
目標式攻擊有時也會成為郵寄給員工郵件的導火線。例如,近來發現到偽裝成實際存在的企業或組織、客戶負責人、公司內部相關人員等,郵寄出「帳單」「發放獎金」等標題的郵件,企圖讓用戶開啟office檔案匣的手法。一旦開啟檔案,點擊訊息欄內的「啟用內容」,就會執行非法巨集(macro),那麼即有可能會感染上惡意軟體也說不定。
👆 【避免郵件成為網路攻擊媒介的四個重點】 **
✅「企圖使其開啟附檔及連結」「唆使打電話」「唆使傳送郵件」等,請謹慎地確認某些催促郵件的真偽,一旦發覺稍有些許違和感時,請使用郵件以外的方式向寄件人確認事情真偽,並向資訊管理員進行諮詢。
✅如果收到經營幹部或客戶要求匯款至與以往不同的銀行帳戶時,即便寫著緊急或機密也請遵循公司規定的流程處理。
✅勿輕易開啟附檔或連結,勿直接點擊連結,而是盡可能地透過書籤或公司內部的入口網站確認通知郵件的內容
✅遵循公司的規定更新作業系統及資安軟體
🔻 公司員工業務上的服務帳號被盯上
從「設定不同的密碼容易忘記」等的理由來看,在Web mail及雲端儲存等多個服務帳號上使用同一組帳號或密碼,說不定您已經將公司曝露在危險之中。
假設我們將多個服務都使用同一組帳號及密碼。那麽,萬一一組服務的帳號及密碼藉由釣魚詐騙落入網路犯罪者的手上又會如何呢?那就意味著多個服務的帳號及密碼已經遭到外洩了。也就是說,將同一個帳號及密碼反覆使用是種提高各種服務的帳號遭盜取的高風險行為。
使用「×××1」「×××2」等數字的不同文字排列或是、「qwerty」「asdfgh」等的鍵盤排列、「password」「picture」等字典上的單字設定為各種服務的密碼也是相當危險。讓第三者容易猜測到的密碼,在認證的意義上是很薄弱的。請儘量將字母的大小寫、數字、記號等隨機組合排列,設定令第三方難以推測的密碼。如果認為管理及設定密碼很困難的話,使用密碼管理工具也是相當方便。
👆【安全管理帳密四重點】
✅於每個服務上使用不同的帳號及密碼
✅儘量設定令第三方難以猜測複雜且較長的密碼
✅不將記載著帳號及密碼的便條紙放置在其他人容易看見的地方
✅使用公司單位規定的資安分針來管理帳號
謹慎使用社群網站
您知道LinkedIn等社群網站在企業網路攻擊的情資蒐集階段上,佔有重要的一環嗎?網路犯罪者將社群網站用戶公開的個人資訊(公司單位名稱及職務、業務往來郵件等)及與工作相關內容的貼文(包括職場的人際關係及公司內部資訊、機密資訊等的照片、影片)做為情報中心,對目標的企業進行情報收集及攻擊對象的篩選。進以製作逼真的郵件內容,騙取員工的信賴。
例如,即便是在私人的社群網站上貼文,也要了解到伴隨而來的責任。在社群網站公開原本就該保密的工作內容及與客戶的關係、或在業務上所得到的任何資訊都是相當荒謬的行為。切記在社群網站上不恰當的發言給工作單位造成不必要的損失時,不僅僅會成為懲處的對象,即可能還會被要求損害賠償。實際上也發生過在社群網站上不當貼文,工作不保的案例。
👆【安全地使用社群網站的重點】
✅對各個社群網站進行適當的個人隱私設定
✅留意在社群網站上公開的內容可能會遭到有心人士瀏覽
✅於社群網站上進行貼文前,重新檢視是否有包含不適當的發言或影像
✅遵循公司單位所規定的社群網站使用規則
網路攻擊不論是對於規模或地區、 行業都已造成威脅。所有企業及組織等都已成為覬覦的對象,哪一位員工在何時會被盯上無從知曉。所有員工不僅都應備有迴避網路攻擊的資安知識,還要採取不讓網路犯罪者有機可乘等的行為。
◎延伸閱讀:三種員工行為,可能導致企業資料外洩
相關文章:
網站連不上?可能是針對伺服器的FAIRWARE新勒索病毒造成Android用戶小心 400種APP染毒, 實施個人自備裝置 (BYOD)的企業風險增高企業平均約需要 30 天完成修補程式測試,「漏洞攻擊套件 + 勒索病毒」,考驗和時間賽跑的 IT 管理員強化端點防護成為多層次勒索病毒防禦的一環
原文來自 資安趨勢部落格