| 這封簡訊是真的嗎? 普發一萬詐騙多,如何辨識真假?
近期全民普發現金於10月三讀通過,將於11月5日開放登記,「1萬元補助」成為熱門話題,然而普發的議題使不法詐騙集團趁勢而入,以「普發現金開放登記」為名,假冒政府、銀行或企業通知,利用人們的期待、擔憂與好奇等心理,誘導民眾點擊惡意連結並交付個資,這種發送假簡訊的詐騙手法,正是一種常見的「社交工程攻擊」。
什麼是社交工程攻擊?
社交工程攻擊是一種透過「人性」而非「技術漏洞」的駭客手法。駭客藉由假冒身分來取得信任,進一步發送假簡訊/信件或惡意連結,誘導受害者進行洩漏機敏資訊、點擊惡意連結等動作,可說是騙術結合技術的一種攻擊方式。
如何辨識假簡訊/信件?
辨識方法很簡單,以「普發現金申請/開放登記」假訊息為例,可依下列步驟判斷真偽:
(1.) 確認網址是否為官方網域(如政府網站是”.gov.tw“結尾),留意偽造的網域或相似字母替換的情況。
(2.) 官方通知不會要求立即點擊連結或是輸入個人密碼,若有急促性的要求,請小心,這很可能是詐騙。
除了「假簡訊」的社交工程攻擊手法外,常見的手法還有「企業內部假郵件」、「電話詐騙」、「網路釣魚」與「社群媒體詐騙」等。
社交工程攻擊對企業有何影響?
雖然「普發一萬」的詐騙手法,針對的是民眾,但同樣的社交工程手法也可能滲透到企業環境中,只要不小心點選,就能入侵整個組織。
例如員工誤信補助信件並點擊惡意連結,可能導致下列情況:
1. 客戶信任受損:駭客取得員工的登入憑證,進而登入企業郵件系統,並發送偽造郵件給客戶或合作夥伴,導致合作關係受損,影響長期合作。
2. 業務營運中斷:駭客取得憑證進入ERP、CRM、HR 系統等核心平台,並且更改設定與刪除資料,造成生產線、客服或財務作業停擺。
3. 財務與商譽受損:駭客侵入公司內部系統,不法竊取客戶資料、財務資訊等,導致客戶機敏資料外洩,影響企業商譽。
企業如何防範社交工程攻擊?
防範社交工程攻擊的關鍵在於建立「企業員工資安意識」,除了技術防護外,更需要讓每位員工懂得識別可疑訊息,並透過實戰演練,逐步建立企業資安文化,提升員工們的警覺心。此外,也可透過安全防範措施,如Outlook安全性設定,防範惡意電子郵件。 | 延伸資訊: 社交工程防範實務
中小型企業需要防範社交工程攻擊嗎?
中小型企業尤其需要,駭客近期鎖定資源有限、防護鬆散的中小企業進行攻擊,愈是小型的公司,駭客所帶來的衝擊愈是不容忽視。 | 延伸資訊:強化企業資安韌性課程