報稅旺季到資安風險增!帳密沒外洩也恐被盜、3 招安全報稅報你知

五月即將進入報稅季,中小企業通常會透過「網路報稅軟體」或配合的「會計公司」進行報稅時,也讓網路釣魚詐騙、竊取個資的資安風險提升,SOSI 遠端連線控管系統開發商表示,「就算帳密沒外洩,也可能有被竊取的風險。」報稅3大安全守則就是不要盲點連結、不要用瀏覽器記密碼、不要嫌麻煩需開啟密碼雙重認證,避免成為網路犯罪的受害者。

第一安全要點是不要盲點連結,在報稅旺季,網路犯罪份子以假亂真寄出假稅務文件(e.g. 拖欠稅款通知),並以附件夾帶的 PDF 檔作為攻擊媒介,誘使收信人點擊連結下載。根據 Security Week報導指出,過去在南美洲就有犯罪集團在報稅季節仿冒哥倫比亞政府的 Email 後綴網址(Suffix URL)寄送釣魚信件,他們更採用密件副本(BCC)方式送信,規避垃圾郵件的篩選。

後綴網址指的是網址後面,用於識別網站國家、組織性質或地區的英文縮寫,像是 .com、.org、.edu、.gov 等,都是常見的後綴網址,大眾在收到 Email、簡訊時,務必看清「寄件人」及信箱「後綴網址」,千萬別盲點連結,誤入犯罪集團偽裝的「官方網站」留下資料。

第二安全要點是不要用瀏覽器記住密碼,密碼是資料外洩的最後一道門,一但曝光個資就會被盜走,雖然設置複雜密碼有助於降低風險,但只要電腦不慎中了木馬,密碼再複雜也可能沒用,網路犯罪份子即便不知道帳密也能盜走。

近期新型態的竊密程式 Vector Stealer,駭客盜取使用者電腦 RDP(遠端桌面通訊協定),透過遠端桌面連線方式,取得電腦桌面控制權,不但可自由操控電腦,包含瀏覽器密碼、信箱郵件、通訊軟體等,甚至能接管使用者身份,進入公司內部系統竊取資料。必須知道,以瀏覽器紀錄密碼只是方便,但沒有資安防護措施。

第三是不要嫌麻煩,需開啟密碼「雙重認證」防護。開啟兩步驟驗證(2FA)或使用一次性密碼(OTP)是保護密碼最安全的方式之一,即使桌面被遠端挾持或駭客透過瀏覽器自動記錄密碼登入重要平台,只要有啟動雙重認證,打開手機 App 收取 30 秒變動一次的隨機密碼,就能增加駭客在盜取密碼上的複雜度,目企業在選擇報稅軟體或會計系統,也可以留意系統是否有雙重認證的資安防護。

更多太報報導