经营企业最主要的目的就是「创造利润」,说白一点就是要赚钱,虽然过程中可能面对市场变化与经营不善,但如果是因为诈骗而造成损失,应该很不甘心。
面对商业电子邮件诈骗(BEC)这样的威胁,由于是企业本身疏于资安保护,如何「预防」交易汇款被骗走,就是企业最关心的事情。
因为BEC诈骗已经为企业带来巨额损失,我们需要有更多的警惕,至于该如何预防,如何强化电子邮件安全,就是一大议题。这次,我们也询问了多家邮件安全与资安厂商,并整理出现有应对BEC诈骗各环节的作法,以及能利用的防护技术,让企业能够多些因应之道。
养成安全的邮件使用习惯
电子邮件已经是普遍企业传递讯息不可或缺的工具,尤其是与海外业者交易联系的重要管道。
而BEC诈骗的最大特点是,都是利用普遍人们对于电子邮件太过信任的习惯,没有想到要去进一步确认发件人,是否就是当事人,而误信更改汇款账号与紧急电汇的内容。
一般企业该如何防范呢?由于公司本身疏于资安防护,我们先从基本的资安防护面向来看,供企业作为因应参考。
不要用免费信箱与共享账号
尽量不要使用自由网信件空间,也千万不要共享邮件账号。要知道,这容易成为网络犯罪分子锁定的目标。
有企业可能认为,他们连公司网站都没有,怎么会成为目标,其实在参展的各式交际与交换名片过程中,就有机会被黑客搜集到资料而锁定,特别是当他们发现,有使用免费信箱与共享信箱的情形时,很有可能判断该公司是容易下手的目标,因为资安防护薄弱。
对于一些传统的中小企业而言,老板、会计与业务人员,可能都没有这方面的概念,也欠缺专业IT人员,即便生意规模可能已经作的很大。也许,当大家在接触到这样的企业时,可以适时做出一些提醒,共同提升防护意识。
做好基本密码安全与端点防护
由于BEC诈骗在早期发生阶段,黑客也会监看电子邮件中的财务往来细节。因此在邮件账号与登入方面,像是密码设定不能太过简单,避免轻易遭到暴力破解,同时也要做好基本端点防护,减少黑客入侵、木马程序植入的机会,防止电邮诈骗案的发生。
文章出自:SBF胜博发星域之家 www.mitsp.com/
培养员工信息安全意识
面对各式钓鱼信件、诈骗信件,企业员工只要稍不注意,就可能一次造成巨额的损失。因此,企业平时就需要培养员工正确的信息安全观念,尤其是交易负责人与财务相关经办人员,他们是BEC诈骗的主要收件者对象。特别是在回复电子邮件时,也应留意收件者的E-mail 是否正确,像是来自甲的电子邮件,回复时发件人却是乙,就是问题,但一般使用者可能并不知道会有这样的情形。同时,用户也应对窜改电子邮件账号的假冒与混淆手法,有些概念,才比较容易发现异常。