近兩成的企業資料外洩事件,來自內部人為疏失,而非病毒!
員工被認為是公司最大的資產,卻也是資安最脆弱的一環。雖然企業經常遭受駭客蓄意的破壞或惡意入侵,但也有許多資安事件是因為疏忽大意或缺乏安全意識所造成。在今年初,一家投資管理軟體廠商因為變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise,簡稱 BEC)造成600萬美元損失而被告。
罪魁禍首?沒有遵循正確匯款流程的員工。在這種情況下,如果企業具備適當的安全措施,而且員工能夠確實遵守程序或具備看穿騙局的知識,就能夠成為防禦的關鍵。
19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成
2014年的一份問卷調查顯示有19.8%的資料外洩事件來自內部系統 – 因為簡單的人為錯誤造成。各式各樣可以有效利用員工的詐騙手法讓網路犯罪分子偏好社交工程(social engineering ),而不去用更加複雜的方法。
實際的詐騙手法可能有所不同,但底下列出最常用的技術 – 出現在許多電視和電影場景裡,可以幫助使用者更加了解自己他們所面臨的社交工程威脅:
假托技術(Pretexting)
冒充老闆
他如何進入?
竊資達人(Identity Thief):Sandy冒充前老闆說服員工給禁區密碼。
你有沒有非預期地接到來自“技術支援”人員的電話,內容是關於需要立即處理的問題?也許來電者會要求提供個人資料或帳號資訊來立即處理問題。這種社交工程的手法被稱為假托技術(Pretexting)。 繼續閱讀