根據一項報導指出,美國又發生了一起網路釣魚(Phishing)案件,導致 200 多家連鎖商店共 21,000 名員工的報稅資料因而外流,這次受害的是知名連鎖企業 Sprouts Farmers Market。2001年成立的 Sprouts 是一家特色雜貨連鎖店,專賣新鮮農產品、健康食品、維他命及營養補充品。這家總部位於亞歷桑納州的企業,是近來日益增加的網路釣魚(Phishing)攻擊受害者之一,駭客成功偷走了該公司的 W-2 扣繳憑單資料。
Sprouts 發言人 Donna Egan 在一項聲明當中證實了這項外洩:「Sprouts 正全力配合聯邦調查局 (FBI) 及國稅局 (IRS) 來調查這次的犯罪行動,並找出保護員工報稅資料的最佳方法。所有收到 Sprouts 的 2015 年 W-2 扣繳憑單的人都可能受到影響。」
假冒來自公司某高層的一封正式信函, 員工遵照信中要求將資料彙整後寄出
根據 Egan 表示,這起 W-2 網路釣魚詐騙的起因是一封薪資部門收到的電子郵件。該郵件假冒來自公司某高層的一封正式信函,要求取得員工的 2015 年 W-2 資料,該公司坦承,收到郵件的員工已遵照信中的要求將資料彙整後寄出。但該公司不久之後隨即發現這項手法與最近另一起案例的手法類似。
就在不到一個月前,硬碟大廠 Seagate 的員工也遭到類似的詐騙,一位不知名的人士利用相同的手法騙取了一些該公司前員工與現任員工的資料。此外在二月底的時候,Snapchat 也發出了一封正式信函給員工,以自責和抱歉的口吻說明某員工因為被騙而洩露了個人重要的資訊,導致公司員工的薪資資料遭竊。
諸如此類的網路釣魚攻擊,以及各式各樣的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC),通常都是誘騙受害者將公司的錢匯到歹徒的某個帳號。但根據最近的一些案例顯示,同樣的詭計用來詐騙一些員工報稅資料和個人身分資料也同樣有效。
[延伸閱讀:商務電子郵件入侵 (BEC) 詐騙/變臉詐騙伎倆如何運作]
隨著報稅季節來臨,網路犯罪集團非常了解如何利用一些可輕易取得的資訊來獲利。駭客不僅將不斷翻新手法來詐騙一般個人,就目前的局勢來看,就連企業也無法倖免。為何呢?資安專家 Brian Krebs 指出,Sprouts 及上述其他企業所外洩的 W-2 資料除了可能被拿到地下市場販賣之外,還可能被歹徒用來從事退稅詐騙或其他進一步的攻擊。2015 年,有超過 300,000 名納稅義務人因為國稅局 (IRS) 網站遭到駭客入侵而成為受害者。
[延伸閱讀:剖析報稅詐騙背後的國稅局 (IRS) 詐騙集團]
儘管各種報告指出歹徒正利用一些新式的現代化攻擊技巧來從網路釣魚受害者身上榨取更多錢財,並且持續威脅一般使用者和企業機構,然而,根據過去幾個月所看到的案例顯示,網路釣魚詐騙集團仍相當仰賴一些過去經常成功的老技巧,而且依然屢試不爽。這類詐騙技巧利用的就是員工資安意識的不足,進而取得員工的信任,然後予取予求。
雖然 Sprouts 的案件目前在調查當中,但該公司已出面表示願意幫員工負擔一年的信用監控服務。不過,員工已公開表達不滿,並且難掩對這次資安事件後續影響的恐懼。儘管如此,在缺乏網路安全意識及適當教育訓練來防範 Sprouts 這類網路釣魚攻擊案例的情況下,員工仍將經常成為網路犯罪的共犯。
企業應該藉由一些可行的措施來深化員工的資安意識,從認識社交工程誘餌以及這類威脅對個人及公司的嚴重危害,到養成一些簡單的預防動作,例如確認電子郵件寄件來源。
原文出處:Data Breach Puts Tax Data of Supermarket Chain’s 21,000 Employees at Risk
