防疫期間在家上班,許多人都更加頻繁地檢查郵件、查看通訊軟體,深怕遺漏訊息被誤認為在家打混。然而此刻也正是最容易被釣魚郵件誘騙上當、駭客發動社交工程的時候!試想一封發自總經理或管理階層名為「公司最新防疫政策」的郵件,或是名為「會議通知邀請」的郵件內附線上會議室連結,你能不點嗎?
資安設備買了、防毒軟體也裝了 為何還是被勒索中招?誘騙使用者自投羅網的釣魚郵件是駭客勒索的老套路,屢試不爽;過去駭客經常利用時事話題製作釣魚郵件,誘騙使用者點擊帶有惡意連結或惡意附件的郵件,一旦點擊,一些後門或木馬程式就暗中下載到用戶電腦,這類釣魚郵件就是典型的社交工程手法之一,也是駭客用來入侵企業內網或發動勒索攻擊的第一步。包括去年在防疫期間,有不少假冒衛福部以「免費分發COVID-19防護設備」或最近採取國人殷切關心的「疫苗施打」為主旨的釣魚郵件,欺騙使用者點開夾帶惡意的內容附件。
甚至駭客鎖定特定企業,假冒該企業人資部門對員工發送疫調郵件,郵件內容詢問員工健康情形,但卻附惡意連結連向偽冒企業內網的釣魚網站,要求員工輸入帳號密碼登入。先前駭客也曾假冒物流公司DHL發送包裹寄送問題的郵件,要求收件人點擊連結下載檔案填妥後回傳,這類鎖定目標的社交工程手法更讓企業員工難以招架。若搭配漏洞問題,當IT廠商發布漏洞修補程式,駭客極有可能搶先研究漏洞攻擊程式,趁目標企業尚未來得及修補前,透過社交工程入侵並觸發漏洞展開攻擊,也因此先前幾家已經相當重視資安的系統大廠紛紛遭到勒索軟體攻擊,原因可能在此。
如今隨著疫情趨於嚴峻,未來各種以疫苗、紓困方案為名的釣魚郵件也極有可能出來魚目混珠。在這樣的情形下,一年做1~2次的社交工程演練足夠提升員工資安意識嗎?許多已建置資安管理系統、通過ISO 27001認證的企業或受到資安法規範的機構,都會被要求須提升員工資安意識,也因此企業組織經常委外安排每年進行1~2次的社交工程演練。然而問題來了,每次演練後的分數報表都顯示同仁資安意識不錯,但實際上卻又往往因為員工資安意識不足而遭受勒索攻擊?! 真相就是〝社交工程演練並沒有被落實或者流於形式〞;這也是導致WFH遠距辦公時期爆發企業資安破口的重要因素之一。
於是我們看到許多企業試圖從科技、工具面來彌補缺口,這些解決方案固然能發揮一定作用,但是別忘了資安管理三大策略——People、Process、Technology,人員安全才經常是所有安全工作當中最不好解決的。根據《iThome 2021企業資安大調查》指出,在企業自評難抵禦資安威脅的原因中,排名第一的就是「員工資安意識不足」,佔58.1%。因此我們也經常看到許多企業即使花大錢部署資安設備,但是真正脆弱的環節一直沒有補起來,設備部署的成效恐怕會不如預期。
每月社交工程演練掌握最容易上鉤者 加強防護脆弱點當我們進一步來看,所謂每年已經做1~2次社交工程演練的企業,為何員工仍然容易上鉤?若非因為駭客精心設計的釣魚郵件情境實在太逼真,就必須回頭思考先前演練的真實性如何?IT/資安人員是否受到上級的壓力而放水?根據我們經驗,企業最常收到釣魚郵件的三類人員是高階主管秘書、特助以及最常與外界聯繫的人員如業務或客服。許多IT/資安人員迫於不能讓高階主管演練的分數不好看,竟然得先預告演練進行的時間,然而駭客發送釣魚郵件前並不會先預告。
因此提升社交工程演練的頻率,從每年1~2次提升為每月1次。不須委外,透過社交工程演練雲端服務,企業IT/資安人員自己就能進行。一旦演練次數增多,高階主管意識自然能提升,分數也會好看。更重要的是,透過經常社交工程演練,企業IT/資安人員也可知道哪些同仁容易受騙上當,特別容易受哪些主題的郵件吸引而忍不住點選,如此一來搭配上網過濾的解決方案就能減少同仁誤入陷阱的機率,也能減少駭客成功入侵的機率。
