惡意詐騙攻擊如何搞臭你的品牌並且毀掉你的生意?

你為員工舉辦過多次資安研討會,教導他們辨識網路釣魚威脅。然而,仍有將近50%受害者在收到網路釣魚郵件的第一個小時內打開郵件並點擊內文的連結。

欺就是欺瞞詐騙的意思。攻擊者每天不斷的使用詐騙手法,竊取企業使用者的信用資料,包括透過網路釣魚和植入在企業網站的惡意軟體。你不允許員工瀏覽那些不知名網站,但如果是BBC、Newsweek、The New York Times或者MSN呢?最近這些都成為惡意廣告(malvertising)的受害者-惡意人士透過線上廣告公司在這些頂尖網站散佈攜載惡意軟體的線上廣告。當然,我知道你有防毒軟體。不過,Five Habits Of Highly Successful Malware指出,在真實世界被防毒軟體捕捉到的惡意軟體只佔了25%。你為員工舉辦過多次資安研討會,教導他們辨識網路釣魚威脅。然而,仍有將近50%受害者在收到網路釣魚郵件的第一個小時內打開郵件並點擊內文的連結

別忘了,人們經常使用線上銀行服務,這正是惡意人士頻繁利用網路釣魚和惡意軟體攻擊的目標。根據IDC調查,辦公室的網際網路連線時間有30-40%是用在與工作無關的活動。這或許說明了為何F5安全營運中心(SOC)發現平日的網路釣魚活動顯著高於周末,尤以星期一最為猖獗。如果員工在星期一早上使用線上銀行並且成為網路釣魚攻擊的受害者,那麼不但員工個人的財務信用資訊會被竊取,公司資料也很可能落入惡意人士手中。防毒軟體無法捕捉所有威脅,人們仍繼續成為網路釣魚攻擊的受害者,公司資料在市場上如同其他資訊一樣具有買賣價值。

有些員工透過SSL VPN或其他「保護」的入口網站,從企業防火牆之外存取公司資產。此時,那潛伏在員工瀏覽器的惡意軟體並不在意它所竊取的是公司或消費者相關信用資料。不論何者,對於攻擊者而言都是有價值的-他們既然花了那麼大的功夫感染裝置,何不盡量挖寶?

事實是,對於金融服務與銀行而言,詐欺並不算是特別意外的威脅。他們是受害最大且承受的衝擊也最立即,因為惡意人士瞄準的是我們委託銀行幫忙管理的金錢。但如果你回想過去幾年一些重大的資安事件,就會發現大多數的根本原因在於:信用竊盜。竊取信用資料的途徑包括透過網路釣魚或惡意軟體直接騙取,或者透過木馬程式繞過傳統偵測系統侵入你的網路。他們的目標就是資料,不論客戶或公司資料。

資料外洩事件的代價遠超乎技術與營運成本。

品牌與商業衝擊

當然,還有復原與清理成本。資源必須重新配置以根除網路釣魚攻擊所遺留下的每一個惡意軟體和後門漏洞。桌上電腦要進行抹除並重新安裝,以清除路過下載(drive-by downloads)或惡意廣告程式。這確定會對IT和商業部門造成嚴重的生產力損失,衝擊你的商業利潤。

再來就是品牌衝擊,Twitters被負面留言灌爆,你的品牌一夕之間變成被嘲弄的對象。

一旦清理好桌上電腦並安裝上更強大的保護後,資料外洩的衝擊餘波仍繼續打擊你的品牌聲譽,而你必須處理這個問題。最近的一項研究調查顯示,超過一半(57%)企業承認安全事件對他們的聲譽造成負面衝擊,使得中小企業損失超過8,000美元,而大型企業損失超過20萬美元。其中有些費用是用於聘請外包廠商協助處理被灌爆的抱怨、答覆問題和提供建議。另外有些則是因應客戶期待而支出的成本,包括建立身分識別竊盜保護(63%)、信用監控服務(58%),以及提供現金、產品或服務等形式的補償(67%)。

客戶流失也包含在這些損失項目,因為品牌是消費者採購決策的重要因素。雖然價格通常被認為是第一要素,不過價格的考量和品牌聲譽之間是相關聯的。客戶願意為一個良好聲譽的品牌付出更多成本,因此當遭受安全事件後必須盡可能快速的修補你的品牌信譽。

損害並非局限於消費者-儘管這通常會被優先檢視,公司的人才招募也會受到衝擊。要吸引優秀的人才就必須付出成本,Employer Branding Global Trends報告指出優良的品牌雇主可以節省22%人才招募費用。當然,這是假設你有興趣吸收人才。同樣的調查也發現,人們在找新工作時,45%會將一般人對公司的評價列為重要考慮因素。品牌影響人們去一家公司工作的意願,因此安全事件會對你的人才招募造成負面衝擊。

排除網路詐欺威脅

好消息是,我們可以藉助一些工具來舒緩網路釣魚和惡意軟體威脅。那些工具通常被歸類為反詐欺,且經常與金融、銀行及其他和財務相關產業相提並論。不過,唯有當人們認真防範詐欺,才能藉由這些方案獲得保護,避免惡意人士利用網路應用和技術騙取個人信用資訊。

網路詐欺方案的目的是要找出並預防信用竊盜,避免讓攻擊者利用這些信用憑證去入侵系統。他們竊取的究竟是現金或資料並無關緊要,因為他們一旦蒐集到憑證資料後就會繼續竊取其他任何資料,而不論其屬於公司或消費者所有。如果員工使用一台遭入侵的機器連接公司資源,惡意人士就能藉此取得公司憑證資料和其他任何資料-這是任何行業都必須重視的威脅。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416