帳密沒外洩也可能被盜?3 招讓你安全報稅遠離被駭

五月即將進入報稅季,資安業者提醒,每年這時節就是網路犯罪份子展開網路釣魚詐騙、竊取個資最活躍時刻,歹徒看中企業體系通常會透過「網路報稅軟體」或配合的「會計公司」進行報稅時,可能會出現的資安漏洞,採取各種不同方式詐騙資料。

SOSI 遠端連線控管系統開發者鄧慕凡表示,「就算帳密沒外洩,也可能有被竊取的風險。」並列出 3 點報稅安全守則提醒企業及納稅人,避免成為網路犯罪的受害者。

1、不要「盲點連結」,看清信箱後綴網址

來路不明的網址有可能是釣魚詐騙,但在報稅旺季,網路犯罪份子以假亂真寄出假稅務文件(e.g. 拖欠稅款通知),並以附件夾帶的 PDF 檔作為攻擊媒介,誘

使收信人點擊連結下載。

根據 Security Week 一份報導指出,過去在南美洲就有犯罪集團在報稅季節仿冒哥倫比亞政府的 Email 後綴網址(Suffix URL)寄送釣魚信件,他們更採用密件副本(BCC)方式送信,規避垃圾郵件的篩選。

後綴網址指的是網址後面,用於識別網站國家、組織性質或地區的英文縮寫,像是 .com、.org、.edu、.gov 等,都是常見的後綴網址,大眾收到 Email、簡訊時,務必看清「寄件人」及信箱「後綴網址」,千萬別盲點連結,誤入犯罪集團偽裝的「官方網站」留下資料。

2. 不要用瀏覽器「記密碼」,降低外洩風險

密碼是資料外洩的最後一道門,一但曝光個資就會被盜走,雖然設置複雜密碼有助降低風險,但只要電腦不慎中了木馬,密碼再複雜也可能沒用,網路犯罪份子即便不知道帳密也能盜走,上個月就發生了網路電話系統商 3CX 的公司員工不小心下載到惡意軟體 VeiledSignal,導致 公司內部網路被滲透,駭客透過員工電腦瀏覽器竊取重要資料,包含密碼。

類似手法的漏洞還有近期新型態的竊密程式 Vector Stealer,駭客盜取使用者電腦 RDP(遠端桌面通訊協定),透過遠端桌面連線方式,取得電腦桌面控制權,不但可自由操控電腦,包含瀏覽器密碼、信箱郵件、通訊軟體等,甚至能接管使用者身份,進入公司內部系統竊取資料。必須知道,以瀏覽器紀錄密碼只是方便,但沒有資安防護措施。

3.不要嫌麻煩,開啟密碼「雙重認證」防護

開啟兩步驟驗證(2FA)或使用一次性密碼(OTP)是保護密碼最安全的方式之一,即使桌面被遠端挾持或駭客透過瀏覽器自動記錄密碼登入重要平台,只要有啟動雙重認證,打開手機 App 收取 30 秒變動一次的隨機密碼,就能增加駭客在盜取密碼上的複雜度,目前常見的 2FA 包含 Google Authenticator、Microsoft Authenticator 或Authy,目前有不少熱門網站也會提供會員 2FA 服務,企業在選擇報稅軟體或會計系統,也可以留意系統是否有雙重認證的資安防護。

以上三點雖然能為企業報稅多一層安全保障,但企業若要達到最好的防護效果,還需要做到三件事,包含:安全的遠端連線控管、監測紀錄計畫及密碼驗證系統。SOSI 建議企業可透過遠端連線控管系統強化公司內部的防護網,員工透過「遠端桌面」系統連線工作,即便不慎點擊信件內夾帶木馬的附件,也可透過虛擬機迅速初始化,由於遠端桌面系統設於企業內網,若駭客想透過外網「挾持桌面」較難以成功。若不確定在哪個階段出問題,也可隨時查找電腦的自動監測紀錄,徹底杜絕漏洞疑慮。

更多太報報導