經濟日報記者程士華、蕭君暉/專題報導
針對日漸猖狂的電子郵件詐騙,勤業眾信風險諮詢公司副總經理林彥良提出企業防詐五祕訣,建議企業在對外接洽流程中雙重確認合作廠商窗口、在流程中設計預警機制、透過自動化作業阻擋惡意名單,審慎進行網路架構設計及使用者權限管理。
林彥良指出,資安詐騙會有個特徵,駭客傾向快速變現,針對帳款相關環境進行詐財。
針對日漸猖狂的電子郵件詐騙,勤業眾信風險諮詢公司副總經理林彥良提出企業防詐五祕訣。圖/經濟日報提供
林彥良提供5大祕訣防制電子郵件詐騙,第一招是雙重確認合作廠商窗口,收到國外合作廠商電郵來信時,除系統署名外,也應同步確認對方郵件地址,甚至在匯款前,除電郵往來外,還致電對方窗口雙重確認,避免企業帳款遭詐。
其次,企業在工作流程中設計預警機制,以公司出帳流程為例,若以財務人員為單一窗口,可能一時不察而受到詐騙,但若在工作流程上加上主管覆核機制,以人工控管關鍵流程,即可達到制度性預警效果。
第3是較具規模的公司可加強軟、硬體,以自動化作業屏蔽惡意來源的電郵、網域及連線申請,雖然無法解決內部主管帳號遭竊的狀況,但可阻絕掉大多數偽造來源的信箱伺服器。
林彥良指出,對企業而言,最基本與實惠的作法是「審慎進行網路架構設計」,以及「權限管理」,稍具規模的公司可針對其內網與連外線路進行管理,尤其人力上也要跟進,應採離線措施的封閉資料庫,就不應該透過獨立線路或是WiFi連線,這是一般公司常見的錯誤。
使用者權限管理也要分層設計,林彥良認為,這方面的重點出在執行人力能否落實,如果公司把網路最高管理權限開放給每個使用者,原本的管理機制就不具意義。
資誠智能風險管理諮詢公司執行董事張晉瑞也指出,企業電子郵件詐騙通常是利用人的疏忽,「教育訓練」、「四眼原則」、「提高警覺」是企業防詐騙的不二法門。除負責人必須仔細觀察匯款帳戶是否有所變化之外,企業也必須精進內部控制、財務審批流程,除負責人外,應該設立第二關、第三關把關人員,就是所謂的「四眼原則」。
