圖片來源: 

iThome

社會上的電話詐騙事件層出不窮,使用者若沒有警覺心,聽信對方的話,就有上當可能性。由於這種手法簡單又容易讓使用者中招,因此政府也不斷宣導,教育民眾能有基本的警覺意識。

同樣的,使用者受到詐騙電子郵件攻擊,對方企圖以魚目混珠的內容,欺騙使用者,使他們在檢視網路釣魚信件中所呈現的資訊時,不自覺地被又導致惡意網站,暴露個資。

提到釣魚郵件,對於一般使用者來說,或許用詐騙郵件來形容,更容易讓使用者理解,只是在電子郵件的世界裡,不只是詐騙金錢,還有個資、帳號密碼或管理權限,以及誘使電腦感染惡意程式等,由於詐騙內容包含更廣,IT人員在教育使用者時,也應更明確指出。

儘管惡意電子郵件很危險,但是企業用戶或是一般使用者,又不可能不使用電子郵件。當然,企業資訊單位本身也都提供基本的郵件過濾、防毒軟體,或是更進階的資安防護措施,可以幫助使用者過濾掉大部分的威脅,然而,再好的防護系統也有誤判,加上現在的攻擊手法更具針對性,依靠使用者經驗去判斷,也很重要。

此外,IT人員在教育宣導時,最大問題多半在於不知該如何下手,有時講了很多原理與防護方式,但要讓大家都能記住可不容易。像是,各員工對於資安防護意識的程度有落差,當面對有些年紀稍長、學習較慢,或是電腦操作技能較不足的人時,就很辛苦。特別是中小企業的資訊人員,通常也沒有太多工具能夠利用。

要解決這樣的問題,我們這次整理出防範釣魚郵件的簡單原則,以及常見的7種引誘使用者上鉤手法,並且從多家郵件安全廠商,例如中華數位、網擎、CelloPoint手上,取得了社交工程手法惡意郵件範例,讓IT人員以更簡單、易懂的方式,提醒對於電子郵件應有的警覺性與可疑郵件徵兆。

儘管要求程度不一的使用者,能完美判斷出釣魚郵件與合法郵件,是不太可能,畢竟這種靠人分辨的辦法也會有極限,但至少要讓大家能夠面對這種詐騙手法時,產生可疑的念頭,並有基本遵循的要領與方向。同時,我們也介紹了辨識惡意郵件的兩大進階作法,讓使用者更能注意郵件中惡意網址與惡意檔案的釣魚手法與欺騙性,不要大意。

面對可疑郵件時,務必秉持3大觀念

 1  不上鉤:發現可疑信件就不要開啟。

 2  不打開:不隨便打開郵件中的附件檔。

 3  不點擊:不隨意點擊郵件中夾帶的網址。

 

 相關報導  強化資安意識,鞏固惡意郵件進逼的最後防線


Advertisement

更多 iThome相關內容