去（2021）年 3 月，我們曾在 Cloudmax 電子報中提醒大家要小心防範 詐騙信件 ，並提供了「留、心、停、看、聽 五 招」，收到電子報的大家還記得嗎？​

​而今年我們又再次來發出提醒了，在今年二月時，又有了一波社交工程攻擊，這次的攻擊特徵是：

1. 用你熟悉的寄件者（真正有此人），且吸引你的信件標題​寄信給你
2. 信件內含有加密的附件檔案​
3. 信件內容提供了附件檔案的密碼，另外有些還會包含不明的 email 地址或網址連結​

​這種攻擊手法就是很標準的「社交工程攻擊」。

社交工程攻擊防護 (Social Engineering Attack Protection)
是指駭客透過 Email 或 FB 等社交平台，模仿遭入侵者本人或熟識者的行為，透過傳送有問題的連結與檔案給公司員工，來達成入侵公司內部電腦的工作。

疫情拉開人與人面對面的距離，使得不管是商業上或是生活上的詐騙行為與事件更層出不窮，而郵件詐騙也已不再只是商業上才會發生了，在我們的生活上也都有可能出現，像是突然收到郵件通知，信中告知有包裹尚未付款，或因收信地址填寫錯誤產生郵資差額須補繳…等，這些在生活中看起來很平凡的小事，卻是最容易讓人的警戒心降低，讓駭客有機可乘的漏洞。

不只是郵件詐騙而已，釣魚網站、釣魚簡訊等的各種詐騙手法也都在不定期出現；就像近期大家應該有關注到的消息，4月一開始藝人周杰倫就發生了 NFT 被盜的事件，根據媒體報導，周杰倫擁有的知名「無聊猿」NFT，就是遭釣魚網站盜走並快速被轉賣，此事件預估損失千萬；駭客們擅於運用各種方式來騙取大家的帳號、密碼，再以此侵入竊取數位資料、數位財產、騙取或勒索金錢，真的不能不小心慎防。

各種躲在網路後的詐騙手法，都是在利用人心，引誘你順順的照他指示執行他們預想的步驟，完成每一次的詐騙劇本；然後在你來不急反應時竊走錢財，或是以為甚麼事都沒發生時，默默的植入木馬，​接著日復一日的竊取你甚至你公司的資料，又或是讓你中毒、資料被加密後，他們再回頭來勒索你。​

​

人心最堅強也最脆弱，當駭客抓準你的脆弱點的時候，就是最容易騙到你的時刻

​

「防範 詐騙信件 ，匯智有解，抓緊五招拒絕受騙」​

• 留 – 留意寄件者名稱與 email​
• 心 – 人心弱點做誘因，包裝信件主旨與內容​
• 停 – 輸入帳號密碼或是個人隱私資訊，先停停​
• 看 – 看清楚信件內容有沒有不明連結或是夾帶附檔​
• 聽 – 聽聽工程師怎麼說​

關於企業郵件資安問題是否有解，我們於 2019 年時訪問過 Openfind 雲端服務 副總經理 張嘉淵，在專訪中張副總不藏私的與我們分享他的經驗，並於專訪的最後，為企業總結「關於郵件資安的建置與落實，企業主們可以怎麼開始」，以下節錄重點分享：

1. 從找出自己的問題及弱點著手，多進行同業交流：建立同業的朋友圈很重要，大家團結一致、分享最新資安威脅、分享做法，才能因應資安問題的快速翻新，及時尋找對應的解法。
2. 找到適合且可信任的廠商：企業資安是很吃經驗的，需要經驗豐富的團隊隨時提供服務及諮詢，因此，從該公司的規模、客戶量與服務口碑來選擇，較能找到適合且可信任的廠商。
3. 不要先看價格：若讓價格成為先入為主的框架，就很容易迷失自己真正需要的服務，反而買到不適用的服務，要解決郵件資安問題，就要買到適合的產品、可以確實解決問題的服務，這是不能妥協的堅持。
4. 可以先找雲端的服務：雲端服務通常在功能及價格上彈性都較大，導入測試也相對快速，較容易找到適合的入門服務，未來再視需求調整；但要注意的是該雲端廠商是否提供退場機制，例如未來服務必須要做雲地的整合、備援或轉換時，該廠商是否都能提供充分的協助，對企業來說也是相當重要的一環，因此選擇同時提供雲端、地端兩種解決方案的廠商，未來進可攻、退可守。

專訪全文：運用 AI 人工智慧防堵電子郵件資安漏洞之三大探討– Openfind 張嘉淵專訪，讓我們一起幫您降低詐騙郵件帶來的危脅吧！

歡迎轉載！請見：轉載原則。

Photo by Fidsor from Pixabay