https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

觀點

秘書、助理需留意的3種網路威脅

2021 / 07 / 27
編輯部
秘書、助理需留意的3種網路威脅
業務助理藉著郵件及電話處理申訴諮詢、帳單處理、與客戶的業務往來及負責直屬上司及團隊人員的行程管理。在這些日常的業務中潛藏著資訊外洩或惡意病毒感染、金錢遭竊等網路威脅。本文介紹助理人員應留意的網路威脅及對應對策。

將日常業務當作踏板的網路攻擊 

網路攻擊是不分企業的規模或地域性、業種的一種威脅。所有的企業及組織都是攻擊的目標,哪位員工何時會被盯上完全無從得知。當然,一般事務及業務助理也是攻擊的對象。
  • 商務電子郵件詐騙 BEC:Business E-mail Compromise   
    BEC,又稱「變臉詐騙郵件」, 是指偽裝成經營高層或幹部董事、往來客戶等向員工傳送郵件,企圖騙取金錢及特定資訊的手法。例如,偽裝成實際有生意往來客戶的郵件內附上假的帳單,並聲稱「已變更匯款帳號」等的名義要求變更匯款銀行的模式。同時,也會偽裝成幹部董事以「緊急且極度保密的交易」等口吻催促立即匯款。

    BEC手法的共通點在於,基本上網路犯罪者會先偷窺業務郵件及對網路上所公開的資訊進行資料蒐集,並針對目標的企業正在進行的交易及人際關係等進行掌握,以便喬裝成可信度更高的假郵件。由於網路犯罪者會抓準匯款時間假扮成實際的關係人傳送假郵件,如此一來幾乎可以不露破綻地讓收件人毫無疑慮地執行假老闆交辦的任務。
    以Office365密碼重置郵件和連結的網路釣魚誘餌。
  • 目標式攻擊 Targeted attack
    目標式攻擊/針對性目標攻擊的導火線也有的是由從業人員收到郵件開始。目標型網路攻擊是指,盜取特定的企業及組織所持有的個人資訊及技術資訊,機密情報、金錢為目的的一系列攻擊。最典型的模式是,偽裝成業務用雲端服務誘導至網路釣魚(Phishing)網站盜取驗證資訊,讓從業人員的電腦感染惡意程式(病毒等非法程式的總稱)入侵組織內部的網路盜取資訊。其他還有將電腦內的資訊加密讓用戶無法開啟,藉此威脅企業及組織。

    例如,近來也發現到偽裝的「帳單」「會議說明」等日常生活中往來的郵件內容,讓收件人開啟包含非法文件巨集(Macro)的Office文件檔案。文件巨集(Macro)是指,Word等的Office工具的標準功能,能將事前紀錄好的操作內容及步驟整合後執行任務。網路犯罪者會攻擊並濫用這些正規的工具,企圖使其感染惡意病毒。開啟文件檔,點擊訊息欄中的「啟用內容」時,就會立即執行非法巨集,屆時即可能會感染上惡意病毒。其他手法,包含故佈疑陣的「要轉寄假的郵件至您的組織,請進行確認」等偽裝成外部來的諮詢郵件,催促收件人開啟附檔文件的手法。
     
  • 聲音網路釣魚 Vishing
    網路攻擊的開端不僅有郵件而已。電話也是其中之一。經常接聽電話的一般事務或助理業務從事者,對於聲音網路釣魚Vishing也要多加留意。犯罪者為了從目標企業的員工打聽資訊情報,不僅會偽裝成公司內部的系統負責人打聽帳號資訊,還會假扮分公司或海外據點的同事打探聯繫。另外,也請不要輕易相信人力資源公司拉攏跳巢術語或是投資電話。這些目的都是企圖打聽組織的資訊情報。

    另外,在使用電話的手法當中,也有讓收件人回撥電話到假的諮詢窗口的Reverse Vishing手法。犯罪者利用看起來逼真的請款名義或免費試用期即將結束通知,企圖讓用戶打電話給假的客服中心。

由於疏忽大意造成資訊外洩

  • 誤發郵件   
    在辦公室工作的人員經常會將相關人員指定為CC或BCC來傳送郵件。例如,請想像一下對多位的客人。往來客戶傳送關於活動介紹或發送郵件雜誌、通知長期休假等的狀況。一旦將本來要傳送給所有的收件人指定為BCC,卻同時失誤用TO(收件人)或CC傳送的話,所有的郵件信箱將遭收件人共享。

    在使用郵件上,就會有誤發郵件的風險。由於搞錯收件人或選錯附檔文件所導致的資訊外洩也是有可能發生。雖說已經有不少企業團體或組織導入為了避免失誤傳送郵件的工具及規則,但還需各自要擁有危機意識才是重要的。
     
  • 忘記確認文件檔案的屬性資訊
    使用Microsoft Office(Word、Excel、PowerPoint)等製作而成的文件檔案用郵件傳送給往來客戶的相關人員時,於事前不僅要確認文書的內容,也要對屬性資訊(「作者」「標題」「主旨」「標籤」「寄件日期」等的屬性資訊)或非顯示資訊(「留言」」「版本」「註解」「隱藏文字」等)也都要進行確認。如果一不小心將留有資訊的檔案拿出公司以外的話,可能會導致資訊外洩。在Microsoft Office中,可藉由使用「檔案檢查」達到一次性移除不想要的資訊內容。
     
  • 行事曆的公開範圍   
    對於助理業務從事者而言負責上司及團隊成員的行程管理是基本業務之一。是否會使用群組軟體(Groupware)等,對會議室的預約或公司內部預定計畫進行共享呢?以資安方面而言要做到徹底的話,儘量將行事曆的公開範圍限制在最小限度。行事曆內不僅包含有標題及地點,或許還包含有會議的概要、網路會議用的網址及出席者等容易成為網路犯罪者攻擊的重點資訊。並請定期地檢查公開範圍, 將詳細資訊內容設定僅限於團隊之間共享,也可避免企業組織內部洩密者外傳。

不限於行業每個人都應留意事項

不重複使用密碼
  • 一旦於多個工作服務上重複使用同一組帳號及密碼,已經將公司的資訊曝露在高度風險中。上班族應該使用工作單位所規定的方法妥善地管理帳號。
不在社群網站公開業務資訊
  • 請不要在私人的社群網站上隨意地發表有關工作上的話題或照片等。如果一旦將原本應該保持秘密的職務內容或是與客戶的往來關係、業務上的機密資訊公開的話,不僅是貼文發布者,連工作單位也會失去社會信用。同時即便不是機密資訊,也要認識到在網路上公開的資訊都會有遭到收集、分析,並被惡意地使用在攻擊的可能性。
關閉手機等行動裝置的訊息通知預覽顯示
  • 為了防止裝置遭到他人非法使用,大多數的用戶都會將智慧型手機及平板裝置畫面進行上鎖,但容易忽略的是上鎖畫面的通知。多數的郵件及簡訊等的交流工具,都備有將送件人的名稱及簡訊內容的一部分顯示於通知畫面的預覽功能。但看似便利的同時,卻也隱藏著風險。建議關閉訊息通知預覽。

本文轉載自趨勢部落格。