當你收到一封主管交辦任務的電子郵件,你會懷疑它嗎? 小心,你習以為常的工作流程,已經成為駭客最新的攻擊入口。
現在的駭客不再發送一眼就能看穿的釣魚信件,他們把惡意程式碼隱藏在日常的工作通知裡。 台灣 CIO 雜誌報導說:當一件事情看起來越合理,員工就越不容易停下來懷疑。
報導中提到,企業大量導入各類軟體即服務,卻帶來了意想不到的風險。 軟體即服務的意思是不用安裝在電腦裡,透過網路就能直接使用的雲端協作平台。 近期最危險的實測案例,就是利用線上專案任務看板軟體發出的邀請信。
為什麼這很危險?
因為駭客真的是透過合法平台寄出邀請信,這些信件甚至能通過發信來源驗證機制的檢查。 發信來源驗證機制,是一種檢查這封信是不是由真正的官方伺服器寄出的安全設定。 信件是真的,但這代表這項任務也是真的嗎?
這正是許多企業最大的盲點。 郵件是真的,不代表內容安全,真正的戰場在你點擊連結之後才開始。 你可能被引導到假的登入網頁,交出帳號密碼,甚至把惡意軟體帶進公司環境。
面對這種威脅,我們該怎麼辦? 難道只能要求大家隨時保持高度警覺嗎?
絕對不能只靠員工硬撐著判斷,人會累,也會在壓力下犯錯。 企業真正要做的,是把安全護欄放在對的位置。 例如,嚴格限制哪些人可以邀請外部人員加入專案。 更重要的是,防線必須延伸到點擊連結之後。 企業必須想辦法縮小破壞半徑。 破壞半徑的意思是,必須假設防線會被突破,因此要限制損害範圍,就算有員工不小心點了惡意連結,系統也能立刻隔離危險,避免整個公司的資料都受害。
最後,企業必須建立一個非常簡單的通報管道。 當員工覺得怪怪的,一分鐘內就能找到人確認。
在追求工作效率的同時,請記住,信任不能只建立在平台表面,我們必須回頭驗證這項任務到底合不合理。














