公司電郵騙案屢見不鮮,大多數發生在中小型公司,這些公司忽略網絡安全,讓騙徒輕易得手。
設計圖片
這次騙案涉及一家中型辦公室傢具供應商,犯案手法非常簡單,騙徒以電腦程式,漁翁撒網向超過一萬家公司發電郵,只要一間公司中招,收穫已經很豐富。
中招的是公司40歲資深男會計師,有一天他接到客戶的電郵指示,催促找數,電郵和客戶慣用的電郵,有一個英文字母不同,會計師警覺性不足,按電郵指示,在銀行轉帳了25萬美元(195萬港元)到電郵指定的戶口,其實戶口號碼亦與平日客戶所用的戶口不同,但會計師並沒有查證。
設計圖片
騙徒輕易騙得25萬美元,食髓知味,兩三天後再要求會計師轉帳50萬美元,會計師才覺得不對勁,馬上向客戶核實,發現早前的25萬美元,客戶並未收到,才知被騙。
設計圖片
網絡安全專家C君分析,事主好大機會之前曾開啟騙徒的釣魚電郵,並打開一些連結,雖然沒有作進一步行動,但已等同開了門,讓騙徒長驅直入,其後騙徒極可能開展「攞料」行動,如在網上查閱這間公司的資料、業務性質、員工數目,甚至主要部門主管的名字、電話、及電郵,透過這些電郵或電話聯絡事主,找到進一步資料後,才發電郵到公司或個別人士,減少事主的戒心。
設計圖片
C君認為,公司應首先假設,所有電郵都是假的,在這大前提下制訂策略,識別那些是真電郵,那些是假電郵。以下兩大策略可供參考:
第一、制訂內部政策指引
制訂公司資訊科技及資料處理政策,寫成指引,然後分派給員工,敦促他們閱讀及明白內容,並簽名作實。例如列出程序,如何處理客戶的要求,包括轉換銀行戶口、處理大額交易、以及改變簽名樣式等。可以成立內部資料庫,儲存所有客戶的電郵、銀行帳戶及聯絡方法,涉及金錢往來,必須根據內部資料庫的記錄進行,如果客戶要求更改這些資料,須先向客戶核實,再由更高級的職員簽名確認。除此之外,要定期為員工提供培訓,例如每半年或一年一次,因為員工有流動性,舊員工可能忘記,新員工可能不清楚,定期培訓可以確保人人根據指引辦事。
第二、確保公司電腦系統安全
為了確保公司伺服器的安全,可向網絡安全專家購買服務,或由公司內部的IT專才負責。他們可在公司電腦系統加載防毒軟件,識別垃圾郵件及釣魚郵件,此外還有一招殺手鐧,就是定期扮釣魚專家,發電郵給同事,測試他們會否隨意開啟這些外來電郵,以及電郵內的連結,讓管理層可以找出那些員工犯錯誤,再培訓及矯正。
神探馬如龍指出,好多公司騙案其實可以避免,只要公司制訂指引、員工切實執行,騙徒便不會得逞。
Holmes
** 博客文章文責自負,不代表本公司立場 **
