五大提示建立員工警覺　IT三招提升安全文化

前陣子，烏克蘭能源公司「Burisma」的名字在網路上廣為流傳。有消息來源指出這家能源公司被俄羅斯駭客入侵，搜尋並偷取了敏感資料。如你所想，駭客入侵網路的方式應該是網路釣魚攻擊。

網路釣魚的定義非常簡單，就是網路犯罪分子誘騙以電子方式外洩本應自我保管的資料。好消息是，大多數使用者最近已經學會如何發現明顯的網路釣魚攻擊。壞消息是，僅靠留意明顯的錯誤，或是依賴詐騙郵件寫著「尊敬的客戶」 而不是使用你的名字，仍然無法可靠地發現網路釣魚攻擊。具有針對性的網路釣魚，通常被魚叉式網路釣魚（Spear-phishing），在這種攻擊中，詐騙份子會量身訂製每一封網路釣魚電子郵件，例如針對你和公司進行客製化。 由於這些偽造的電子郵件幾可亂真，不只是如Burismas這種知名受害者的問題，你我都可能受害。取得個性化網路釣魚電子郵件所需的特定資料，遠比想像中要容易得多，並且許多資料都可以透過自動化的方式收集。

五大提示避免受害

以下是因應網路釣魚攻擊的五個提示，尤其是面對詐騙份子時，他們願意花費時間和心思來騙取信任，而不僅僅是用「親愛的客戶」電子郵件來騷擾：

1.不要因為對方知道你許多資訊就被打動

素未謀面，以及往後也不會見面的人，仍然可以輕鬆地成為你的「親近人士」，例如你朋友的朋友，或者透過網路或電子郵件與之合作但從未見面過的同事。

即使是沒有太多技術背景但資金充裕的詐騙份子，也能從已知的資料外洩、社交媒體基本資料，以及過往傳送或接收的電子郵件來收集你的個人資料，可以做出比 「親愛的客戶」更具說服力的詐騙郵件。

2.不要因為對方催促就匆忙傳出資料

許多騙局之所以有效，就是因為騙子取得了信任，或者讓你認為他們是公司中的高階主管，然後強調他們剛剛要求的工作有多麼緊急。有時他們也會解釋為什麼對象是你而不是其他任何人（奉承的心理戰術），並試圖讓你覺得這項工作非常機密，因此不能與其他任何人討論。切勿認為對方要求完全保密就是謹慎，而應將其視為可疑。

3.檢查郵件真偽時，不要使用寄件者提供的詳細資訊

或許你以為詐騙份子會極力勸阻檢查郵件真偽，但有時他們不只是歡迎，而且會積極鼓勵你回電、回信或瀏覽網站，但這些都是騙局的一部分。如果透過他們提供的電話號碼回電，或者透過他們提供的網站回傳訊息，便是提供機會讓他們欺騙（這就是為什麼金融機構要在信用卡的背面印上緊急聯絡電話，以及在自動櫃員機的歡迎畫面放上聯絡電話的原因─那些騙子很難竄改這些資訊）。

4.不要遵循郵件內容中關於如何檢視的說明

詐騙份子的常見詭計是將惡意內容（例如呼叫巨集來竊取資料的軟體）隱藏在看似無辜的文件檔案中，然後在該文件開頭加上應該如何更改各種安全設定，以便「正確」開啟檔案的說明。這些說明通常聽起來很合理，但實際上，他們的用意是欺騙關閉可以保護你的各種安全功能。

5.不要害怕徵詢第二意見

如果曾經請同事檢閱你的文件或電子郵件，那麼他們經常會發現你自己沒有發現的錯誤。那是因為第二意見非常有用。實際上，這就是詐騙份子要求保密，不要告訴任何人接下來要做什麼的主要原因──阻止獲得第二意見並引起他們的注意。

提供給IT人員的技巧

在此同時，也提供IT人員和系統管理員三個額外的提示：

1.架設員工單一聯繫窗口以報告網路安全問題

大多數魚叉式網路釣魚之所以可以成功，並不是因為員工想做錯事，而是他們想要把事情做對，並且在為所有對象提供優質服務的同時做出貢獻。沒有人願意冒險成為「因為叫最重要的客戶走開而被解僱的前同事」。透過提供一個回報機制（如security-report@example.org這樣的一個內部地址），可以讓使用者輕鬆地在冒險之前就尋求安全建議，而不是事發之後。比被魚叉式網路釣魚郵件騙倒更糟的事情，就是發現掉入陷阱的人並不是公司的第一個，而有了預警系統，就可以避免這種情況發生。

2.讓網路安全成為一條雙向道－聽聽使用者的意見！

在1990年代到2000年代，網路安全的基本概念通常是：「IT部門最清楚，讓它制定所有規則，無一例外」。但是，這種方法往往會形塑成一種文化，也就是盲目地將所有未被阻擋的東西視為安全。即使是合法、流量高的網站有時也會遭到駭客攻擊。如果使用者剛好是第一個注意到的人，你會希望他們通知，而不是聳聳肩並忽略這個問題。

3.考慮使用網路釣魚模擬

諸如Sophos Phish Threat這類的產品可以讓使用者安全地了解魚叉式網路釣魚者使用的各種手法，就算是他們掉入陷阱也不會真正受害。只要清楚表明這項網路釣魚測試可以幫助使用者學習，而不是盯著他們以抓出害群之馬，那麼每個人都可以從中受益。畢竟，某些員工可能每個月會收到數十封真正的網路釣魚和魚叉式釣魚電子郵件。因此，即使不測試使用者，詐騙份子也不會放過他們！

＜本文作者：張光宏現為Sophos台灣區總經理＞