準備匯款了嗎?小心!是駭客詐騙!
如果公司最近正在談對外購買設備的案件,忽然收到出貨廠商來信,告知貨品
已備妥準備出貨,請速匯款至指定帳戶,面對這樣的情況,相信多數忙碌的業務或會計,就會開始依程序進行「匯款」事宜。小心!這也可能是駭客寫的匯款詐騙郵件!
自2011年開始,ASRC與中華數位科技就陸續接獲企業收到各種商業詐騙的郵件
的回報。在2013年,這類商業詐騙郵件有明顯變多的趨勢。這些郵件不同於漫撒餌食無標的性的「奈及利亞詐騙郵件」,它的數量極少、時間點精確、收信對象清楚,郵件的內容都確實與公司正在、即將或例行執行的合約或交易有關,並且內容格式多半都與過去往來常用的格式一致。更有駭客直接攔截正在商談的商業郵件,複製其內容並竄改連絡管道資訊、匯款帳號資訊後,以移花接木的手法發出詐騙郵件。經過ASRC與中華數位合作追查發現,許多遭受商業詐騙攻擊的企業,都有內部資料外洩的問題,而主要外洩的管道是企業或私人的電子郵件信箱。
電子郵件是許多企業在交易、商務往來賴以連繫的重要工具,許多人為了方便記憶,將電子郵件信箱的帳號密碼設得相當簡單,並且多年不換密碼,還將一
個密碼通用於個人其它服務!這一些小小疏忽都足以為未來埋下後患。根據ASRC在2012年的調查,約有87%以上的企業存在弱密碼的問題,有弱密碼的企業帳號比例,平均大約佔企業所有帳號數目的6.03%,而且以公開的弱密碼字典檔,平均不到1小時,就可以猜中一個使用不安全密碼的帳號。許多電子郵件信箱的帳號密碼早已外洩許久,但取得帳號密碼的駭客並不會馬上發動「攻擊」,而是潛伏並悄悄讀著被竊電子郵件信箱內的重要信件,並靜待最好的時機寄出各種有利可圖的詐騙郵件。
當然,電子郵件信箱密碼外洩,也可能因為釣魚郵件內容的欺騙造成密碼外
洩。這類釣魚郵件的內容,多半為電子郵件信箱已滿、服務故障,並偽造成像是系統管理者發出的郵件,它們很明顯的共通點是附上一個連往可輸入帳號密碼登入的詐騙網址。這類釣魚郵件可以透過垃圾郵件過濾設備資安意識的提高來避免;但若是密碼設定過於簡單、長久不變更、一個密碼用到底這樣的不安全習慣,24小時都可能曝露在被入侵或洩密的風險之下。
如何避免遭到各種詐騙、釣魚郵件而蒙受損失呢?除了企業建置相關的垃圾郵
件過濾設備外,內部帳號密碼強度的定期稽核也是必要的。在個人的資安觀念上則需要記住一個最重要的原則,那就是「收到可疑郵件時,務必尋求其它管道再確認。」比方:在匯款前,除了仔細看清楚匯款帳號是否有可疑之處外,透過電話再次確認是不可少的;遇到郵件要求登入服務前,以電話或其它非郵件中提供的連絡管道與相關人員再次確認,都可以有效避免風險。
※關於ASRC垃圾訊息研究中心:
ASRC垃圾訊息研究中心(Active Spam-message Research Center),長期與中華數位科技合作,致力於全球垃圾郵件發展特徵之研究事宜,並運用相關數據統計、調查、趨勢分析、學術研究、跨業交流、研討活動..等方式,促成產官學界共同致力於淨化網際網路之電子郵件使用環境。