作者:李祟基 Green Radar 產品營銷執行副總裁
疫情逐漸緩和,2023 年頭,打工仔最開心的莫過於收到公司發放多少花紅和奬金的電郵,畢竟各國逐漸開放旅遊,有花紅便能提高旅行的預算,好好準備報復式旅行。不過,早前 Green Radar 發放的電郵威脅指數和報告顯示,電郵威脅風險比上季度下跌,但黑客看準打工仔心態,花紅通知其實是釣魚電郵!
黑客善於利用大眾關注的話題和心理來製作電郵內容,以提高收件人打開連結而成功攻擊的機會率,根據 Green Radar 的 GRETI 報告顯示,過去 3 個月的釣魚攻擊每天超過 1,000 次。去年底更有近 38% 的釣魚電郵是偽冒企業財務部門發出,當中不乏以花紅和奬金通知為主題的內容,透過一些保安系統難以偵測的方式,例如於電郵夾附釣魚網站的二維碼圖片,訛稱需先行登記以誘使收件人掃描二維碼,從而令收件人的裝置和內裡的機密資料頓成黑客的囊中物,亦令企業的內部系統構成多一重的入侵風險。
事實上,在疫情衍生的彈性上班方式和遙距工作模式下,黑客針對企業最薄弱的環節出擊,員工一不小心便受到釣魚電郵攻擊影響,令企業資料外洩、勒索程式攻擊及遭受詐騙的風險大大增加。例如黑客偽冒匯豐銀行發出「不活躍的帳號警報」的釣魚電郵,誘騙收件人進入釣魚網站以輸入帳戶和密碼資料,造成金錢上的損失。
要預防日趨精密的釣魚攻擊,企業應定期審視系統及員工的防禦能力,例如選用能準確識別電郵中的惡意連結、附件和二維碼的電郵保安系統,亦要為系統和員工定期進行演習,增加員工對電郵威脅的意識培訓和測試系統安全性。