美國聯邦調查局日前發出警告,指出網路犯罪已將攻擊目標鎖定中小企業的企業主及員工。先設計網路釣魚郵件使其電腦中毒,竊取其電腦內的個人資料及系統登入憑證,接著就把錢從其銀行帳戶轉走。根據各大報報導,此手法已造許多企業數十萬美金不等的財物損失。
9月底英、美警方逮捕一票利用惡意軟體Zeus盜領網路銀行存款的犯罪集團。然而此一犯罪工具恐被犯罪集團擴大利用,因此金融相關單位特別發布報告,提醒此一犯罪手法。報告中指出,犯罪集團鎖定中小企業中的高階主管、會計、人資部門員工或外部協力廠商,透過各種社交工程手法或釣魚郵件,使其電腦中毒後,竊取個資或系統登入憑證,一旦這些帳號淪陷,犯罪集團就能將錢從企業銀行帳戶轉走。他們還能透過各種方式,假冒身分透過電話來進行資金調度。並模仿金融機構人員與企業驗證轉帳交易,甚至非授權辦理電匯,或做其他變更。除了鎖定會計帳務資料外,犯罪集團也會一併竊取受駭企業的客戶名單或其他資訊。
台灣的網路銀行或網路ATM,雖有設計必須透過晶片金融卡來登入帳戶,可降低被轉帳的風險。但資安專家指出,從許多攻擊案例來看,網路釣魚郵件的設計已越來越精細,十分難辨識。專家呼籲,企業員工在各網站留個人資料時應避免留下真實的公司名及職稱等資料,否則一旦這些網站資料遭外洩,你先前所留的資料恐怕可被進一步利用,包括設計釣魚郵件,最後使自己上鉤。網路攻擊手法不斷精進,企業應隨時掌握並提醒使用者注意各種最新攻擊。