維護資安之道：長官信件不要隨便開

| | | | | | 3則回應

    

刑事局昨天破獲駭客集團入侵中華郵政網路銀行，將客戶存款盜轉走數百萬元外，並入侵健保局、教育部及多家電信公司資料庫，竊取使用者個資，建立自己的「受害者資料庫」，資料超過五千萬筆，甚至包含政府官員、民代、企業界人士。

不過，這起號稱破獲外洩資料規模歷來最大的案件，若從手法來看卻毫無新意。事實上，源自於公、民營單位的民眾資料外洩事件，在國內報紙社會版上屢見不鮮。

根據資安專家判斷，如同其他案件，駭客多半是利用相當簡單的技巧：蒐集這些機構的長官姓名，然後冒用長官姓名或僭用其郵件帳號發送可能挾帶木馬或後門程式的「公文」檔案。趨勢科技技術顧問戴燊指出，由於這些文件中挾帶的是針對特定組織而設計的惡意程式，一般防毒或反間諜程式軟體皆偵測不到。

而收到這些信件的IT或MIS人員，往往看到長官的來信，都會不疑有他地打開，卻也因此成為病毒感染對象或木馬程式潛伏地點，他指出。接下來，因為掌握了IT或系統管理、或任何與資料相關人員的合法權限，有心人士想要取得資料不啻是探囊取物。

也正因為如此，對重視資訊安全的公司來說，提高使用者的警覺心也是強化資安防護網措施的一環。許多公司會不定期發出冒用長官身份的電子郵件，以測試員工的警覺心，並將測試結果納入資安觀念考核中。一些簡單的技巧，如信件來自不認識的來源網域，或是內容包含亂碼等符號，都可能協助辨識出利用社交工程(social engineering)手法加以散佈的釣魚郵件。

一般民間公司遭到入侵，影響層面或許僅及於該公司的員工、客戶或合作夥伴。但如果被入侵而遭到竊取資料的是用戶眾多的單位，像郵局、健保局及電信公司，受害者更是難以估算。

其實政府過去幾年投入大筆預算強化公家機關的資料安全。例如中央層級單位都要求導入ISMS或BS 7799等安全規範，甚至計畫成立國家資訊安全監控中心(NSOC)，防止駭客入侵。但專家強調，除了投入軟硬體外，最重要的事能真正落實，建立資安保密（防諜）的心態(mindset)。

政府一方面不斷透過電視廣告呼籲民眾提高警覺小心詐騙電話，但另一方面若無法更採取積極作為，保護民眾資訊不外洩，我們可以想見，未來社會版上民眾被詐騙錢財的新聞將永遠無法絕跡。