中国邮箱网讯 11月29日消息,如果公司最近正在谈对外购买设备的案件,忽然收到出货厂商来信,告知货品已备妥准备出货,请速汇款至指定账户,面对这样的情况,相信多数忙碌的业务或会计,就会开始依程序进行「汇款」事宜。小心!这也可能是黑客写的汇款诈骗邮件!
自2011年开始,ASRC与Softnext守内安就陆续接获企业收到各种商业诈骗的邮件的反馈。在2013年,这类商业诈骗邮件有明显变多的趋势。这些邮件不同于漫撒饵食无标的性的「奈及利亚诈骗邮件」,它的数量极少、时间点精确、收信对象清楚,邮件的内容都确实与公司正在、即将或例行执行的合约或交易有关,并且内容格式多半都与过去往来常用的格式一致。更有黑客直接拦截正在商谈的商业邮件,复制其内容并窜改联络管道信息、汇款帐户信息后,以移花接木的手法发出诈骗邮件。经过ASRC与Softnext守内安合作追查发现,许多遭受商业诈骗攻击的企业,都有内部数据外泄的问题,而主要外泄的管道是企业或私人的电子邮件邮箱。
电子邮件是许多企业在交易、商务往来赖以联系的重要工具,许多人为了方便记忆,将电子邮件邮箱的账号密码设得相当简单,并且多年不换密码,还将一个密码通用于个人其它服务!这一些小小疏忽都足以为未来埋下后患。根据ASRC在2012年的调查,约有87%以上的企业存在弱密码的问题,有弱密码的企业账号比例,平均大约占企业所有账号数目的6.03%,而且以公开的弱密码字典文件,平均不到1小时,就可以猜中一个使用不安全密码的账号。许多电子邮件邮箱的账号密码早已外泄许久,但取得账号密码的黑客并不会马上发动「攻击」,而是潜伏并悄悄读着被窃电子邮件邮箱内的重要信件,并静待最好的时机寄出各种有利可图的诈骗邮件。
当然,电子邮件邮箱密码外泄,也可能因为钓鱼邮件内容的欺骗造成密码外泄。这类钓鱼邮件的内容,多半为电子邮件邮箱已满、服务故障,并伪造成像是系统管理者发出的邮件,它们很明显的共通点是附上一个连往可输入账号密码登录的诈骗网址。这类钓鱼邮件可以透过垃圾邮件过滤设备资安意识的提高来避免;但若是密码设定过于简单、长久不变更、一个密码用到底这样的不安全习惯,24小时都可能曝露在被入侵或泄密的风险之下。
如何避免遭到各种诈骗、钓鱼邮件而蒙受损失呢?除了企业建置相关的垃圾邮件过滤设备外,内部账号密码强度的定期稽核也是必要的。在个人的资安观念上则需要记住一个最重要的原则,那就是「收到可疑邮件时,务必寻求其它管道再确认。」比方:在汇款前,除了仔细看清楚汇款账号是否有可疑之处外,透过电话再次确认是不可少的;遇到邮件要求登录服务前,以电话或其它非邮件中提供的联络管道与相关人员再次确认,都可以有效避免风险。