自從疫情升溫,政府宣佈居家辦公後,改變了我們的工作方式,考量到遠端工作的模式,辦公工具的選擇顯得非常重要。Email 也就是企業信箱是主要的辦公工具之一,不過近年來 Email 電子郵件面對被攻擊的風險也隨之增加。
Email 詐騙對大眾來說應該不陌生,科技月異駭客也不斷的使用新手法來竊取 Email 資料,受害者不僅是一般民眾,連企業郵件被攻擊的案例也層出不窮,更導致企業大額的財務損失。
文章目錄
常見的 Email 詐騙手法
網路釣魚(Phishing)
網路釣魚又稱為網釣法或網路網釣,此手法企圖透過電子郵件傳送夾著有病毒的連結或惡意程式來竊取個人機密資訊如登入密碼,銀行帳號等。
駭客假冒信譽良好的企業,例如銀行、信用卡公司、社群媒體或政府機關的身分寄送大量電子郵件,通常電子郵件內會附上網址,而此連結的域名及網站頁面卻是假冒的,網路釣魚使用的信箱帳號通常看起來會像來自政府機構或大型公司的公開帳號,例如 facebook.com, paypal.com ,而假網址可能是 faceboook.com,www.paypall.com,收件者對這些域名常掉以輕心而點進連結或下載資料,那 Emai 中的病毒或惡意程式就可能入侵您的電腦來竊取個人/企業資料如登入密碼,銀行帳號等。
變臉詐騙(Business Email Compromise, BEC)
變臉詐騙又稱商業郵件入侵,假冒高階主管的電子郵件帳號或公開的帳號為目標進行 Email 詐騙,透過需要處理機密或比較急迫的任務的信件內容傳送給公司下屬或財務機構、供應商等,並引導收件者操作流程,例如截取合法公司的個人資料、金融機密等訊息,甚至要求匯款給詐騙帳號。
BEC 詐騙所使用的電子郵件並非大規模寄送,為了避免被標記為垃圾郵件。此外,BEC 詐騙會誘騙受害者轉帳給對方,通常會要求受害者快速並私底下進行。遭受到 BEC 詐騙的大案例有知名 TOYOTA 子公司,也導致該公司財務損失高達近40億日圓!
延伸閱讀: 網路常見的 Email 詐騙有哪些? 了解更多電子郵件詐騙
如何避免 Email 詐騙?
1. 提高警覺性
收到email時需要確認是否來自真實信箱,確定其收件匣中的郵件與寄件者寄出的郵件完全一致。如果在信件內有附連結,不可隨意點擊,需先檢查網域是否正確,尤其是在信件內容引導你輸入個人資料或提供給你免費禮品時。
2. 安裝 SSL 數位憑證- HTTPS
現今 SSL 數位憑證是網站經營必備要件,SSL 憑證用以確保使用者與網站之間傳輸的資料受到保護,駭客無法在兩者連線的過程中讀取傳輸的資料,藉此保障像是信用卡卡號、個人資料等安全性。從2017年1月開始,Chrome 瀏覽器將沒有使用 https 加密且用於傳輸密碼、信用卡的網站,標示為”不安全”,這提示行動裝置也都會顯示。若打開網頁顯示”不安全”警告,請不要輕意的輸入個人資料,因為一般信譽好的企業、機構網站皆有安裝 SSL 數位憑證,尤其是有金融交易的電商網站!
3. 電子郵件加密
電子郵件安全也是資安管理最重視的環節之一,不過電子郵件大多沒有加密和驗證功能,因此除了網站 SSL 加密憑證,也有專為電子郵件加密的證書,也就是S/MIME 憑證。
為了避免個人或企業內部資料在使用電子郵件傳輸時遭竊取與竄改,企業應該使用電子郵件加密與簽章等機制來保障電子郵件安全,因此 S/MIME 等類型的電子郵件加密憑證是不可或缺的!
S/MIME -電子郵件安全憑證推薦
S/MIME 是什麼?
S/MIME 為 Email ID Certificate,也就是電子郵件加密憑證,S/MIME 憑證是安全多用途網際網路郵件擴展 (Secure/Multipurpose Internet Mail Extensions,簡稱S/MIME),是採用PKI技術的使用數位證書為郵件主體簽章和加密,提供最高等級的安全性,S/MIME 為 Certum E-mail ID 最高憑證級別 3 (Class 3)。S/MIME 為您的電子郵件進行加密和數位簽章,以驗證發件人的真實性,有效抵禦網路釣魚等常見的 Email 詐騙。
*Class 3: 第三級之憑證用戶註冊時除了個人姓名或公司註冊名稱或網址URL 及一般相關資訊的檢核外,必須提供合法且正確的證明文件,必須本人親自辦理且提供的證明文件足以識別申請者。此級別的驗證也稱為擴展驗證 (EV)。
S/MIME 功能
1. 電子郵件加密(Email Encryption)
S/MIME 是利用公開金鑰基礎架構(PKI)來對多媒體信件(MIME)進行加密,所發展的電子郵件加密格式。當已加密電子郵件傳送時,可確保機密性與完整性。只有預期的收件人才可讀取加密的電子郵件,因此未經授權人員也無法讀取加密電子郵件,在傳輸過程中也無法攔截和修改消息。
Email 加密提供以下安全功能:
- 電子郵件機密性: 當發送電子郵件前, 可預設收件者,信件內容除了已被預設以外, 任何人無法收到或查看信件內容。電子郵件將在傳輸及儲存時提供機密性。
- 資料完整性: 若與 email 數位簽章同時使用,電子郵件加密能夠保障資料完整性,因為有可能會產生加密的特定作業。
2. 電子郵件簽章(Email Signature)
電子郵件簽章又稱電子郵件數位簽章( Digital Signature ),用以辨識與確認電子郵件簽署人身分、資料及電子郵件真偽性,讓收件人可以驗證電子郵件是否真實由所顯示的發件人寄出。電子郵件簽章可消除假冒 Email ID 的風險。
S/MIME 在商業用途上針對客戶端進行驗證,適用於貿易等商業機密、政府數據、醫療記錄、金融電子或數位通信。
Email 數位簽章提供以下安全功能:
- 電子郵件驗證: 數位簽章(Digital Signature)用於驗證身分,提供辨識實體與其他所有人。 因 SMTP 電子郵件基本上無法知道信件的寄件者,而數位簽章中的驗證可向收件人驗證你的身份真實性。
- 電子郵件不可否認性: 數位簽章(Digital Signature)會強制認可已提供簽署、合法的資料,且不可否認已驗證的簽名的功能。
- 資料完整性: 當數位簽章郵件的收件者驗證數位簽章時,收件者就能確信接收到的電子郵件,當郵件已被簽署後,在傳輸過程中所進行的任何更改都會視為無效,能夠確保郵件的資料完整性。
SMIME 加密過程