近期台灣陸續有兩間上市櫃科技公司遭到駭客攻擊,並且駭客還留下已經竊取公司資料的訊息,而根據資安署指出,此種企業遭駭客勒索案件多半是由企業內部人員點擊釣魚連結後所致,而像是釣魚連結這種「社交工程(Social Engineering)」手段,究竟該如何防患未然呢?本文將帶你一次了解。
說到駭客攻擊導致資安洩漏疑慮的發生,基本上不僅限於大企業或上市櫃公司,只要你擁有具有價值的資料(如消費者個資等),都有可能成為有心人士攻擊的目標,而駭客不僅會找尋你的資安防護漏洞,更有可能透過一些手段來欺騙與操弄公司內部人員的心理,進而讓人員因為受騙而洩漏機敏資料。
因此,本文將從常讓公司內部人員上當的釣魚連結等「社交工程」攻擊開始說起,並且分享如何判斷可疑的攻擊手段,降低企業內部受騙的可能。另外,SHOPLINE 也提供了平台資訊安全規格書給店家們參考,以高等級的資安防護措施保障店家使用平台的資訊安全。
首先,駭客攻擊有非常多種,那近期台灣上市櫃公司發生的攻擊手段是什麼呢?
你可能會在新聞媒體上看到「社交工程(Social Engineering)」這個字詞,白話來講,就是「駭客不是直接侵入你的系統,而是誘騙你的人心」,而詳細定義「社交工程」,是一種攻擊者利用假冒或欺詐之手段進行「人與人之間的互動」,藉此偽裝自己的攻擊動機來達成資料竊取或是不法金錢獲利。而這操弄人心的攻擊手段近年非常流行,因為系統漏洞往往總是比人心更難以攻克。
而根據 iThome 2023 資安大調查指出,「社交工程」與「勒索軟體資安事件」是企業資安保護最擔憂的攻擊手段前兩名,皆有將近四成的企業(前者為 40.8%,後者為 39.1%)認為此攻擊極具威脅性。主要原因是,當企業員工的資安意識和高層資安認知不足時,社交工程手段就很容易對企業資安造成影響。加上生成式 AI 技術的出現也變相強化了過往詐騙話術的可信度,透過更具有針對性的客製化文字誘導受騙者點擊連結、掃描 QR code 等,都讓企業資安保護變得更加困難。因此,多了解相關的攻擊手段,勢必能降低受騙上當的可能性,以下也分享常見的「社交工程類型」與駭客常使用的誘騙題材:
社交工程常見的類型有哪些?
我們整理了維基百科與其餘網路爬梳之資訊,列舉出以下常見的社交工程類型:
- 【釣魚(Phishing)】:一種典型且相當常見的社交工程手段之一,多半會透過「偽造電子郵件」、「假簡訊」或「詐騙網站」甚至是「線上聊天與假冒電話」等形式,讓受害者降低警戒心,以欺騙受害者提供敏感資訊(如密碼或信用卡資料)。通常釣魚這類攻擊會使用一些誘騙受害者點擊的惡意附件或是有害的網站連結;透過聲音與聊天的類型則會冒用身份引導受害者採取行動。
- 【魚叉式釣魚(Spear Phishing)/ 捕鯨(Whaling)】:相比釣魚,此類型多半會基於特定個人或組織的受害目標進行詳細研究,進行客製化內容的釣魚資訊,讓其看起來更加「可信」。如偽裝成某品牌客服,並鉅細靡遺的描述你與品牌的消費紀錄,讓你深信攻擊者的身份進而受騙上當;而「捕鯨」更是將目標鎖定企業高階主管(總監 / CEO 等職務),以獲得更機敏之資料。
- 【下餌(Baiting)】:通常所謂的「餌」,都是一些能激起人性的好奇與貪欲的事物,來引誘受害者上當,進一步竊取機敏資訊。像是公共場合來路不明的隨身碟等,都很容易加入惡意軟體來等待受害者將其插入至電腦中。
- 【假託(pretexting)】:為製造虛假情形以迫使受害人吐露平時不願洩露的資訊的手段。此類型攻擊通常預含對特殊情景專用術語的研究,以建立合情合理的假象。像是假冒某某專業技術人員,來電與受害者說明一些特殊情況,需要受害者提供財務或個人資料來進行身份確認,好讓技術人員為其排解問題等,這些都是藉機取得受害者資料的方式。
- 【尾隨(Tailgating)與搭順風車(Piggybacking)】:通常都以為是電影中才能見到,但現實生活中仍舊是會發生,顧名思義就是尾隨他人進入一些需要憑證或是安全管理之區域,如有些企業辦公室需要刷門禁卡,而有心人士就會潛伏並尾隨公司人員進入公司內部,另外像是搭順風車(Piggybacking)則為其中一個人知情並允許另一個人(攻擊者)利用他的存取權限,像是假裝員工並手拿很多東西,讓員工誤以為是其餘部門同事,進而協助開門等,亦或是有意為之的協助也是有發生的可能。
- 【假冒或偽裝身分(Impersonation / Masquerading)】:攻擊者偽裝成其他人或組織進行欺詐行為,如假裝成公司 IT 部門員工,請同事提供登入資訊;或是假裝人資部門向員工索取更多個人資訊等。有些假冒身份更會透過「問卷調查」、「有獎勵之問卷」等形式強化可信度,藉此騙過公司成員。
- 【恐嚇軟體(Scareware)】:恐嚇軟體也是很多詐騙網站常會跳出的訊息,透過假警報與資訊,讓受害者以為自身電腦受到惡意軟體與病毒感染,需要進一步安裝更多建議修復程式來處理(此可能為惡意軟體),進而透過惡意軟體取得更多個資。像是電影蜂刑者(The Beekeeper)便是以瀏覽器彈出「電腦可能已被病毒感染」的視窗文字,進而引導受害者安裝修復程式以竊取不法收益。
- 【肩窺(Shoulder Surfing)】:攻擊者親自或使用遠端工具,直接監視受害者輸入的資訊,如觀看他人輸入密碼。
其實攻擊方式還有很多,新興攻擊手法也層出不窮,個人應該隨時保持警惕,提高資安意識才更能保護自身與服務之公司。接下來也分享幾個駭客可能會使用的內容。
繼續閱讀文章
如何判斷與應對「社交工程」手段?
針對社交工程手段,基本上就是要不斷提高警覺,如果遇到以下情況,可能就是一些危險訊號:
一、收到 Email 或簡訊都先用「看」的,先不要進行任何「動作」
收到來自「未知或是陌生網域」的 Email或是「無法確認寄件人」之簡訊,通常內文若夾帶「不明連結或按鈕」、「附件檔案」、「QR code」等,千萬不要點擊,基本上就先查證再說。若是想要查證信件中的連結是否安全,可以透過一些知名的資安檢測網站(如: Safeweb 或 Virustotal ) 確認一下其安全性,減少自己被攻擊的可能。
多半釣魚信件等內文都會包含許多「拼寫錯誤」或「文法錯誤」,甚至若對方是台灣企業,基本上也不會出現簡體字等文字,如覺得很可疑,請向寄件者確認,無法聯絡寄件者,再次強烈建議先勿點開連結或附件檔案。另外釣魚信件也常會冒用你熟悉的公司、品牌官網,讓你降低警惕,請切勿在信件或簡訊中進行「帳號登入」、「信用卡資訊輸入」、「提供重要證件」等。
二、面對情況危急與攻擊性訊息時,勿輕易相信信件與簡訊,實際查證並主動聯繫對方官方為先
如果收到的信件或是簡訊「內容表現出十萬火急的情況」,亦或是告訴你可能「會因為未回覆及處理而吃上官司」等威脅性訊息,都先留意信件寄件者資訊是否正確(其信箱名稱 / 地址 / 簽名檔等拼字是否正確),或實際查詢該公司或機關的官方聯絡資訊,主動致電詢問。
三、接收到引導性電話指示要提高警覺,勿直接照做
若是接到來電者試圖從你那裡獲取個人資訊、或是請你下載檔案,亦或是利用善良人性等情緒勒索的情況溝通時,皆要保持高度警覺性,不要輕易相信跟採取行動,目前基本上會藉由「電話」引導或指示你進行關於個人相關資訊有關之操作,皆有高機率為詐騙。
四、公司與私人接收訊息管道需分開
若是於企業服務,請勿使用公務信箱接收私人信件,或是訂閱非公務用途之網站訊息,如訂閱新聞、購買商品等,且公務信箱僅用於公務範圍內,切勿轉寄公司內部資訊至私人信箱與儲存空間中。
五、涉及機敏資料,勿將人情凌駕於資安保護原則上
正所謂「商場即戰場」,有時可能也會接收到同業的親朋好友詢問公司機密資訊,亦或是希望透過拜訪的方式在非業務合作上進行辦公室參訪、借用商店後台登入等情形,皆須保持警覺並了解動機,並且避免與其談論到相關資訊,或提供憑證授權等。
風格簡潔有力的網站,會讓人對品牌留下幹練、大器的印象,而色彩繽紛的網站,可以傳達活潑有朝氣的氛圍
SHOPLINE 平台資訊安全規格
由於近年電話、簡訊、分期付款詐騙層出不窮,詐騙集團也常會假冒電商平台、品牌等身份,利用各種釣魚連結、或是品牌客服等「社交工程」手段來誘騙消費者,造成品牌、顧客與平台三方的損失。有鑑於此,SHOPLINE 竭盡所能地提升資訊安全規格,致力帶給店家更安全的資訊防護。
在「商店前後台與第三方金流串接」方面
SHOPLINE 平台皆符合「台灣個人資料保護法與主管機關數發部之規範」,並「遵守 APEC 認證之資訊安全保護(CBPR)」,詳細如下:
- 【使用 SSL / TLS1.2 ( 含 ) 以上等級的安全憑證來進行傳輸加密協定】:防止數據傳輸過程中遭他人竊取、更改。
- 【可疑 IP 判斷阻擋機制】:能即時擋下 DDos 攻擊,並同時確保系統的高效運作。
- 【每季進行資安弱點掃描】:確保系統沒有中高風險的安全漏洞,避免駭客入侵。
- 【每年委由第三方進行滲透測試】:由公正第三方進行模擬駭客攻擊測試,提升系統資訊安全。
- 【配置兩位全職人員專職處理資訊安全】:內部定期安排資訊安全之課程,培養內部人員資安意識。
- 【資料儲存於 AWS 新加坡伺服器】:資料儲存在新加坡,所有用戶的資料皆遵循最小權限原則進行存取,且資料庫最高權限管理團隊為台灣團隊。
- 【使用硬碟加密技術進行資料保存】:以高規格保護商店資料。
- 【Watchmen 商譽保護服務(可付費訂閱之夥伴服務)】:提供全台 SHOPLINE 商家註冊 Whoscall 認證號碼,讓商家來電或簡訊號碼顯示為經過認證的安全名單,提升顧客接聽率與回撥率,更降低受騙風險。(詳細可參考這篇文章)
在自有金流服務「SHOPLINE Payments」方面
因 SHOPLINE 屬於全球智慧開店平台,對於金流交易的把關也相當重視,而自有金流服務 SHOPLINE Payments 符合「台灣金融法規與安全規範」與「支付卡產業資料安全標準(PCI DSS)的最高安全準則」,提供商家顧客更安全且受保障的交易過程。
- 【服務串接符合 PCI DSS Level 1】:有效控制持卡人資料,包括預防、檢測和對安全事件之適當反應,從而減少信用卡詐騙。
另外,SHOPLINE Payments 亦支援 3D 驗證,且店家不得自行在後台選擇該交易是否進行 3D 驗證,SHOPLINE Payments 交易系統會透過 AI 及數據運算,判斷顧客的詐騙風險程度,決定是否強制客戶進行 3D 驗證。如果進行 3D 驗證,客人需透過已登記於銀行之手提電話號碼獲得 6 位數字的「一次性密碼」短訊,並需要輸入該密碼以認證持卡身份進行交易。而最終顧客結帳時是否需要輸入一次性密碼,是由發卡銀行控制,發卡銀行有機會因應客人平常的信用卡使用情況和風險,豁免下次客人輸入 OTP 的步驟。
目前 SHOPLINE 有串接並且支援 3D 驗證的金流包含永豐銀行、台新銀行(為預設開啟,詳細可見 FAQ 說明)及 SHOPLINE Payments(可至後台詢問客服人員後續啟用設定)等,而 LINE Pay 則不需額外申請,消費者在綁定信用卡時便須經驗證流程。
SHOPLINE 防詐騙應對處理
如果 SHOPLINE 收到相關詐騙事件回報時,會第一時間請店家放上防詐騙宣導 Banner ,並發送 Email / 簡訊的方式主動告知店家員工。詳細 Email 與簡訊內容如下:
Email 防詐騙通知
【店家名稱 反詐騙提醒】店家名稱 提醒您,近期詐騙猖獗,若您若有接到 +886 開頭的可疑電話提及「誤設成分期付款」,「誤升級VIP需繳費」,「訂單設定費」,「誤設成大量扣款」等問題,或者要求您進行「ATM自動櫃員機操作」,「網路銀行操作」,「購買遊戲點數」等行為,皆是近期常見的詐騙手法,切勿相信,有任何疑問,請直接撥打 165 反詐騙專線。
簡訊防詐騙通知
【店家名稱 反詐騙提醒】我們不會透過電話要求您做任何購買、訂單設定或解除等,請勿依照電話指示操作。如接到可疑電話,請撥打 165 反詐騙專線。
店家如何強化品牌的資訊安全?
對於品牌資訊安全保護,先前電商教室有做過相似的主題,可參考《資安意識當道!經營電商不能不知的 6 大個資保護應對指南》,而本文也配合 SHOPLINE 平台有支援之功能,補充更多說明,若是非 SHOPLINE 既有用戶,也可以參考以下做法找到適合自己品牌的防護措施,詳見以下:
- 【商店權限管理與密碼保護】:建議店家根據「職務內容」設定後台管理員帳號的權限,避免所有管理員皆有全權,同時也建議每位會操作到後台的人員,皆能夠定期更換後台登入密碼,且登入後台使用的 Email 帳號也建議不定期變更密碼;另外日常使用的電腦、手機等裝置務必定期掃毒,並且切勿使用公共電腦或在公共網路的環境下操作後台管理。
- 【商店登入雙重驗證】:開啟「雙重驗證」功能,有效大幅降低駭客入侵機率。
- 【指定登入 IP】:透過限制商店後台登入 IP,以防止駭客入侵。
- 【Google reCAPTCHA 註冊驗證】:防止駭客使用機器人不斷用不同帳號密碼嘗試登入,同時確保資料傳輸的安全性。
- 【隱藏訂單明細】:遵循最小權限原則,避免資料給不需要看到的人看到,此功能開啟後,包裹單據將不會顯示完整的顧客電話,以避免顧客未妥善銷毀即丟棄而導致個資外洩。
- 【匯出報表雙重驗證】:確保商店資料下載安全。
- 【隱藏報表內顧客的部分個資】:遵循最小權限原則,避免資料給不需要看到的人看到。
- 【新增「反詐騙宣導」預設分頁、頁尾新增反詐騙警語】:店家可於商店前台建立分頁設置反詐騙公告(SHOPLINE 店家可直接於「自訂訂單欄位」中加入公告),內容可以包含但不限於:品牌不會主動以電話聯繫告知重複扣款、錯誤下單、誤設分期等狀況,前往臨櫃或操作 ATM 進行如匯款、退款、補繳金額等金融操作行為。收到送貨單據,亦需妥善銷毀後再行丟棄……等教育資訊,加強宣導顧客的資安觀念。
總結
看完以上內容,倘若店家尚為進行以上資訊安全保護的操作,建議可先至後台進行設定,另外對於品牌內部人員的資安意識培養與培訓也十分重要,未來 SHOPLINE 會持續安排相關資源提供給店家,就讓我們攜手杜絕駭客攻擊與詐騙的發生吧!
SHOPLINE 通過台灣金融法規與安全規範,以最高標準保護用戶的資訊與資金安全,如果你還在找尋適合的開店平台,歡迎免費試用 SHOPLINE,或是預約專業開店顧問諮詢了解更多平台服務。
本身對於數位行銷領域滿懷憧憬,喜歡閱讀消費者心理與電商相關書籍,非常愛巴哥狗但家裡卻無法養,期盼能透過各種品牌內容合作(採訪、Podcast、影音企劃)帶給品牌店家更多電商經營的協助。
個人部落格:https://kevins-life.com/
追蹤電商教室,趨勢新知報你知
