網路犯罪集團攻擊未修補的系統漏洞，依然是當前企業遭駭客入侵最常見的原因之一。隨著網路基礎架構和連網裝置的數量不斷成長，建立一套適當的修補管理程序可說是迫在眉睫。

儘管單單一次的系統修補就必須耗費企業數小時的時間來完成，但根據以往的事件來看，系統未隨時保持更新的代價反而更高。

以下快速回顧近幾年來所發生的一些最具破壞性的網路攻擊與資料外洩事件，從這些事件，我們不難看出未修補的漏洞對企業機構的傷害有多大。

[相關新聞：How to get ahead of vulnerabilities and protect your enterprise business]

2016-2017年: Petya/NotPetya

• 受害者:歐洲與美國的各種企業機構
• 漏洞攻擊手法/漏洞:EternalBlue、EternalRomance (2017 年 4 月已修補)
• 事件發生日期:2016 年 3 月 / 2017 年 6 月
• 估計損失:100億美元

歐洲及美國各種銀行、發電廠、交通運輸系統、海運、藥廠、石油、營建、醫療等機構的系統在感染之後離線了數個小時。據稱這些攻擊主要鎖定烏克蘭境內的關鍵基礎架構及系統 (事件發生在放假前夕)，但卻因為橫向擴散的原因而迅速蔓延至歐洲其他國家。

繼續閱讀

美國教育部發布了一則關於ERP軟體漏洞的資安通報，建議受影響機構要馬上進行修補。據報有62所大專院校因為網站的招生功能受到入侵，並且讓駭客劫持學生證號來建立詐騙用帳號。這個漏洞出現在Ellucian Banner Web Tailor模組和Ellucian Banner Enterprise Identity Services模組（CVE-2019-8978），已經由該公司在5月份披露及修補，但還是有許多大專學院仍在運行未經修補過的版本。

繼續閱讀

假冒系統服務的負責人向公司人員發送系統登入的催促信件;

宅配業者的不在府通知單的簡訊，誘導收件者前往釣魚詐騙網站;

偽裝成大型的網購業者，「如沒有印象請按取消」，企圖讓使用者開啟網址連結的訂單確認;

謊稱要進行市調，利用謝禮當成誘餌進而盜取信用卡資訊;

要脅寄送「散佈觀看成人影片的視頻」的假郵件，企圖讓收件者誤認為真實信件進而威脅索取遮口費;

詐騙信件中，將原始郵件地址（From：）偽裝成收件者自己的郵件地址

   
以上網路詐騙手法,你遇過哪幾個? 駭客的犯罪手法日漸巧妙化。其中又以煽動使用者內心空隙的網路詐騙手法特別顯著。為了不被騙取資訊及金錢，請了解最新的犯罪手法並徹底實施6項對策:

• ˇ請留意煽動（操控）內心不安的手法
• ˇ請留意偽裝成著名的網路服務及大型企業的手法
• ˇ請留意假冒公司高階主管或廠商的詐騙郵件
• ˇ針對網路詐騙的6項有效對策

請留意煽動（操控）內心不安的手法

    近年來，利用社交工程從網路使用者身上騙取資訊及金錢的手法等的被害事件是越來越顯著。社交工程（Social engineering），是伺機利用人們好奇或恐懼心理,讓對方進行詐騙行為的一種手法。

比如偽裝成金融機構或網路服務等的郵件及簡訊等通知:「貴用戶您的密碼有效期限將近」「一旦於時間內未重新開啟帳號的話帳號將失效」，並利用簡訊內的惡意連結誘導用戶進入網路釣魚(Phishing)網站，企圖騙取信用卡資訊等典型詐騙手法。

    其他還包含，用語音讀出「發現病毒」等的詐騙資安警告文，或是出現在瀏覽器上，或是唆使用戶打電話給偽裝的客服支援中心的手段,我們稱之為技術支援詐騙。

參考:小心假 WannaCry(想哭)勒索病毒趁火打劫 !跳出中毒視窗,撥打技術支援電話,12500元台幣飛了!

    這類的詐騙資安警示的手段，利用「系統損壞」等假警告文誘導用戶進入非法網站，企圖利用修復系統及清除病毒等的名目,讓受害者進行安裝假防毒軟體( Fake AV)等的手法。

參考:假防毒軟體恐嚇詐財,看到中毒警告,請睜大眼

繼續閱讀