駭客如何利用員工的社群網站 、電子郵件入侵公司?-維護職場網路安全四要點

「1,863萬台幣贖金 ,另加 3,105萬元購買新電腦和硬體!」這是發生在美國佛羅里達州里維拉灘市(Riviera Beach)一名警察部門的員工,不小心點開「有毒郵件」,導致市政府電腦被癱瘓了3周後的代價 。(相關報導)

一間新竹科技公司,為何因為一時沒看出「xxx@ximhan.net」與「xxx@xlmhan.net」兩帳號差異,竟損失近2千餘萬元?
臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」還是攻擊跳板?

如果員工上班時瀏覽網站不小心點入了惡意廣告,對企業組織有何風險?

網路資安情勢瞬息萬變,只針對新進員工進行網路資安訓練夠嗎?

企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。以下從四個面向: 「社群網站 」、「 電子郵件」、「 網頁瀏覽」及「員工教育訓練 」提供一些指南:

企業資安不是 IT 部門的專屬責任,每一位員工都是把關者

臉書超高人氣,社群分享上癮, 你是駭客選中的「朋友」?駭客眼中夢寐以求的攻擊跳板有哪些特質?

為何員工在社群網站發言,會影響企業安全? 駭客如何利用假身分掩護,加入某公司員工的社群帳號,進而引發一場資料外洩事件?請看以下影片:

這位仁兄幾乎接受所有的交友邀請,他很自豪的認為高人氣的社群人脈,可以讓他迅速飛黃騰達,他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位社群網站”好友”,實際上多數為陌生人,知道他的作息與工作點滴,你身邊也有這類型的同事嗎?為何這種人會成為攻擊者夢想中的目標?他和所屬的公司,最終付出什麼代價?

企業資安不再只是 IT 部門的工作,每位員工都有責任維護職場的網路安全。本文從四個面向:「 電子郵件」、「 網頁瀏覽」、「員工教育訓練 」及「社群網站 」提供一些指南:

1.電子郵件安全

電子郵件至今仍是企業及員工所面臨的最大一項威脅管道。電子郵件是今日企業溝通的最主要工具。因此一再成為歹徒的犯案工具。對企業來說,最困難的一項工作就是今日社交工程陷阱越來越高明,因此讓員工很難察覺有詐。員工可採取以下幾個作法來加強防範:

2.網頁瀏覽

網站是許多員工和企業遭到駭客入侵的第二大途徑。許多歹徒都會利用一些熱門網站或網頁內的廣告來感染使用者。網路釣魚(Phishing)網頁在今日非常流行,因為網路犯罪集團很希望能竊取使用者在一些熱門網站的登入憑證。使用者可以採取以下幾個作法來加強防範:

  • 若您突然看到畫面上彈出一個以前不曾見過的登入畫面,請務必小心,並且切勿直接登入。請改用原本已加入書籤的頁面來登入該網站。
  • 小心網站上的廣告,因為許多歹徒都是利用惡意廣告來感染使用者。
  • 確認您的系統或企業機構已架設網站過濾功能來封鎖一些惡意的網站和網頁。
  • 盡可能使用書籤來前往某個網站,或者直接在網址列輸入網址,避免直接點選電子郵件或訊息當中隨附的連結。

3.員工教育訓練

許多企業機構在投入了一些資源來進行員工網路資安訓練之後,都確實改善了資安的情況。像這樣的教育訓練務必持之以恆,不論是針對新進員工或老員工,因為網路資安情勢瞬息萬變。

  • 定期舉辦網路釣魚模擬計畫:您可以定期提供一些有關威脅如何運作的影片,或是透過一些網路釣魚模擬計畫來定期檢測員工是否會點選您刻意製作的網路釣魚郵件隨附的連結。
  • 員工專屬疑似電子郵件回報信箱:除此之外,企業還可以成立一個專門的電子郵件信箱讓員工將可疑的電子郵件轉寄給 IT 部門。但請注意,企業務必迅速作出回應,這樣才能讓使用者知道如果真的遇到惡意郵件,他們確實會收到通知。
  • 不要有僥倖心態:所有員工都應謹記,不論任何時候,他們都有可能遭到攻擊。許多員工或許會認為自己不可能成為攻擊目標。不過,網路犯罪集團絕不會輕言放棄,如果他們一直無法讓某個員工上當,那麼他們就會另尋其他目標,直到有人掉入他們社交工程陷阱為止。企業機構,尤其是小型企業,更須謹記這點,因為,他們總有一天會成為攻擊目標,只是時間早晚而已。

駭客和網路犯罪集團隨時都在攻擊全球各地的企業機構和員工,換句話說,企業機構內的每一個人都要嚴加戒備,隨時注意自己的網路活動,以確保自身安全。當然趨勢科技也知道我們可以做得更多,因此我們隨時都在投資新的技術來保護客戶,防範威脅入侵客戶,因為,建立一個安全的數位資訊交換世界是我們的使命。

4.社群網站

別讓你的個人檔案像一本可以自由翻閱的書,免得駭客可以看到任何所需資訊,加以利用謀取利益!

本文一開頭的影片男主角 Dave是攻擊者夢想中的目標,因為他幾乎像上癮一樣,分享生活中的所有大小事物,讓數百位陌生人知道,你身邊有沒有這種人呢?
我們都使用社群網路,但如果你不謹慎小心,就很容易洩漏這麼多資料,Dave可能覺得有趣,分享自己所做的一切,但是對心懷不軌的人,這正是大好機會,利用你過度分享的資訊。在你察覺之前,滲透掌握你的一舉一動,即使你分享資訊沒有損失,最終仍可能為此付出代價。
影片中的駭客寫電子郵件給Dave的上司,提出非常有趣的提案,在假試算表嵌入惡意程式碼,只要幾秒鐘就能完成,你可能認為這種事情,只發生在電影中,但事實上大部分攻擊,都使用社交工程,建立可信藉口欺騙受害者,從事不明智的行為,只是一時判斷不當,圖謀不軌的人就能取得他所要的存取權限。

有計畫的犯罪份子會仔細瀏覽網路,搜尋更多系統及資料,這不是短期的駭客行為,他們會長期取得機密資料,銷售給地下犯罪組織,可能是信用卡資料庫或公司全力投入的專案。

請記住以下四點:

  1. 你不但要維護公司的資料安全,也要維護個人的資料安全
  2. 建立社群人脈固然重要,但不要所有人都照單全收
  3. 發文前請三思,如果你不想引人注意,就不要在網路發文
  4. 如果你分享資訊.請確保嚴密控制目標對象,遵循公司安全政策,當然也要小心收到的未經請求訊息或內容,最重要的是
    請用腦思考

《資安漫畫 》更換新的智慧型手機有哪些要注意的事項?

 

☝Google帳號及Apple ID的設定

開啟智慧型手機電源,完成語言及Wi-Fi等的設定後,在Android裝置上會被要求輸入Google帳號,iPhone手機則是必須輸入登錄Apple ID帳號以便確認。使用Google帳號及Apple ID帳號時,Google及Apple為了提供消費者各項的服務會要求輸入帳號及密碼。

已持有Google帳號及Apple ID帳號的用戶,可延續使用此帳號,但在此為防止帳號被不肖第三方盜用,設定密碼是很重要的。使用社群網站服務時,必須使用經過本人認證的帳號及密碼來進行登錄,一旦在多數的社群網站服務上使用同一組密碼或易被猜測的傻瓜密碼,被破解的危險性增高。在裝置上使用帳號來登錄時,請務必設定一組讓難以推測的密碼。

參考: 不駭怕? 英國國會議員與他人共用帳密是常態!

密碼安全提示問題竟讓小廣吃味了!

資安漫畫 密碼安全提示 21

 

☝社群網站隱私設定

一旦拿到智慧型手機,每位用戶幾乎都會迫不及待地想使用Facebook Instagram、Twitter、LINE等SNS的社群網站。開始使用社群網站時必須留意的就是隱私權的設定了。為了不被其他不肖人士窺探個資請進行適當的隱私權設定,及限制個人自我簡介及貼文的公開對象。 繼續閱讀

「你明天不用來了!」為何一則推文,竟讓她還沒上工就秒被解雇?

即使將 Facebook 上的頁面刪除,這些頁面都已經被 Google 之類的搜尋引擎網羅,而且已經散播到網路的其他角落。有一個叫做Tweleted.com 的網站專門讓人搜尋已經刪除的 Twitter 訊息。任何張貼在網際網路的訊息,在刪除之後都還能存活好長一段時間。
凡走過必留下痕跡,趨勢科技提醒:即使將 Facebook 上的頁面刪除,這些頁面都已經被 Google 之類的搜尋引擎網羅,而且已經散播到網路的其他角落。有一個叫做Tweleted.com 的網站專門讓人搜尋已經刪除的 Twitter 訊息。任何張貼在網際網路的訊息,在刪除之後都還能存活好長一段時間。

好不容易被 CISCO 和 NASA錄取了,一則推文,竟讓她倆還沒上工就秒被解雇?

一名美國女大生獲准進美國太空總署 NASA實習後,在Twitter發了一篇則推文,,結果秒丟工作。這簡直就是2009 年 Cisco 準實習生事件的翻版, 兩則樂極生悲的前車之鑑,提醒大家社群網站發文,別逞一時口舌之快,鍵盤彈指間毀了大好前程。

 Cisco 準員工還沒上工就先抱怨恨透了這份薪水很高的工作
2009 年一名 Cisco 的準員工在 Twitter 上抱怨:「恨透了這份工作。」

Cisco just offered me a job! Now I have to weigh the utility of a fatty paycheck against the daily commute to San Jose and hating the work.

很不幸的她的準老闆也看到了 。這位年輕女孩在 Twitter 上抱怨自己「必須為了這份豐厚的報酬而每天通勤到 San Jose 上班,而且恨透了這份工作。」不幸的是,一位 Cisco 的員工看到了這則訊息,然後將這則訊息傳遍了整個公司和網路,因而引起宣然大波。由於這則故事引起相當大的關注,因而有人為此專門成立了一個網站叫做「ciscofatty.com」。

 

準實習生使用「 FXXK 」字眼慶賀在 NASA 找到新工作

時隔近 10 年,最近歷史重演,一名在 Twitter 名為Naomi H的女大生獲准進美國太空總署NASA實習後在Twitter貼文,但可能是習慣以這種語氣跟朋友說話,絲毫不掩飾其中的不雅字眼:

「EVERYONE SHUT THE F**K UP. I GOT ACCEPTED FOR A NASA INTERNSHIP.」(大家都給我X閉嘴,我錄取 NASA 實習生了!)

有個好心人在貼文底下留言提醒她「注意用語」,她還回嗆「吃我的 X 啦!」沒想到對方回應:「我在負責監督 NASA 的國家太空諮詢委員會工作」,原來這位竟是航太界鼎鼎有名的Homer Hickam, 他著有知名的自傳體小說《十月的天空》,目前為美國國家太空諮詢委員會( National Space Council’s Users Advisory Group )中的一員。

沒想到後來還有豬隊友火上加油,不但使用了侮辱性的字眼攻擊Homer Hickam,還加上了 NASA 的標籤,不到 24 小時內Naomi H的實習資格就被取消。

Homer Hickam事後表示,他只是想提醒Naomi H 這則帶有NASA標籤的貼文,很容易會引起NASA的關切,尤其是帶有租俗字眼。 繼續閱讀

社群媒體時代,父母如何與孩子一起安心 Fun 暑假?

教育孩子上網風險就像教他們安全過馬路一樣重要

 這個夏天,當你出去旅遊隨手自拍並分享時,記得提醒你的孩子們(和你自己)確保他們分享出去的資料是安全的。社群媒體將我們和家人朋友連結在一起,但這也提升了線上詐騙、隱私外洩、身份竊盜等各種問題。為了解大家對社群媒體安全的觀念,趨勢科技發起了一項推特的投票調查,超過三萬三千個使用者回覆這個問題:“當你在使用社群媒體時你會擔心你的資料安全嗎?”

收集到的答案如下:

  • 是:32%
  • 否:35%
  • 有時:33%

 

這顯示了一項重大的問題,我們發現大多人並不是很擔心。也許有些人對於“安全”的解釋有些模糊,以下是我們抓出來的重點。

社群網站可能帶來的風險

我們都知道孩子們習慣使用Twitter,Facebook,Instagram來互相傳訊息、更新狀態、分享各種夏天的照片和影片。這些行為也提高了許多風險:網路駭客、霸凌者、跟蹤狂,我們甚至再把資料分享給那些我們不知道的人。對於那些還不是很在意家人和自己社群安全的人,一起來看看有哪些風險: 繼續閱讀

員工是最大的網路安全風險之一!企業所面臨的五個來自社群網站資安威脅

人的因素是社群媒體安全最被忽略的一塊,粗心大意的發文或是誤送的訊息都可能導致重大的資料外洩。駭客甚至會利用社群媒體上取得的個人資料來假冒員工,然後連進應該管制的資料庫或網路。

社群媒體持續地成長著。預計到2019年,使用者人數會達到27.7億。觸及率和影響力是社群媒體的特色之一,讓它不僅可以用來跟老朋友和同事保持聯絡,也一直被用在商業用途上。

社群媒體的使用方式也讓專業工作和個人生活的界線變得模糊,至少在網路世界是如此。企業會利用特定員工帳號來分享專業知識,以此建立更加平易近人的形象。而個人也會為了工作需求而在社群媒體上保持活躍。

然而,儘管這樣的連結性帶來了便利,卻也增加了安全和隱私上的風險。

社群媒體及其安全性的演變

了解社群媒體多年來有哪些改變,可以幫助企業確認需要更新的安全措施。社群媒體長久以來經歷了許多變化,讓平台更加容易使用也更加地吸引使用者。

以下是影響社群媒體持續變化的一些因素。

  • 更多樣的內容。技術的發展改變能夠分享在社群媒體上的內容。從圖片到即時資訊,只要有網路跟簡單的按鍵就能夠分享大量的資訊。而直在現在,社群媒體仍在不斷地為其平台加入更多媒體支援。但由於多媒體更加難以審查,也可能造成非預期的重要資料被披露。
  • 愈來愈多行動裝置用戶隨時隨地使用社群媒體。研究發現,手機佔數位媒體使用總時間的70%。智慧手機使得隨時隨地在社群媒體上保持聯繫成為可能,卻也可能暴露更多使用者的資訊,例如地理位置、時程安排及其他手機活動。
  • 不斷增加的隱私問題和更加嚴格的資料法規。透過網路(尤其是社群媒體)所分享的大量資訊帶來更大的隱私意識。對隱私保護的追求也產生了更加嚴格的資料法規,其中最知名的是歐盟一般資料保護法規(GDPR)。社群媒體不得不變更隱私政策來解決這些問題,替使用者提供更多的隱私選項來滿足需求。

 

來自社群媒體的網路威脅

因為這些變化,人們對社群媒體的態度也有了改變。現在,人們對自己在社群媒體上的安全感可能有著不同的看法,就如同趨勢科技最近在Twitter上所進行的調查所顯示那樣。但儘管社群媒體存在有資安和隱私風險,使用者仍普遍選擇相信社群媒體,而且預計在未來也會如此。 繼續閱讀