準備匯款了嗎？小心！是駭客詐騙！

        如果公司最近正在談對外購買設備的案件，忽然收到出貨廠商來信，告知貨品
已備妥準備出貨，請速匯款至指定帳戶，面對這樣的情況，相信多數忙碌的業務或會
計，就會開始依程序進行「匯款」事宜。小心！這也可能是駭客寫的匯款詐騙郵件！



        自2011年開始，ASRC與中華數位科技就陸續接獲企業收到各種商業詐騙的郵件
的回報。在2013年，這類商業詐騙郵件有明顯變多的趨勢。這些郵件不同於漫撒餌食無
標的性的「奈及利亞詐騙郵件」，它的數量極少、時間點精確、收信對象清楚，郵件的
內容都確實與公司正在、即將或例行執行的合約或交易有關，並且內容格式多半都與過
去往來常用的格式一致。更有駭客直接攔截正在商談的商業郵件，複製其內容並竄改連
絡管道資訊、匯款帳號資訊後，以移花接木的手法發出詐騙郵件。經過ASRC與中華數位
合作追查發現，許多遭受商業詐騙攻擊的企業，都有內部資料外洩的問題，而主要外洩
的管道是企業或私人的電子郵件信箱。



                電子郵件是許多企業在交易、商務往來賴以連繫的重要工具，許多人
為了方便記憶，將電子郵件信箱的帳號密碼設得相當簡單，並且多年不換密碼，還將一
個密碼通用於個人其它服務！這一些小小疏忽都足以為未來埋下後患。根據ASRC在2012
年的調查，約有87%以上的企業存在弱密碼的問題，有弱密碼的企業帳號比例，平均大
約佔企業所有帳號數目的6.03%，而且以公開的弱密碼字典檔，平均不到1小時，就可以
猜中一個使用不安全密碼的帳號。許多電子郵件信箱的帳號密碼早已外洩許久，但取得
帳號密碼的駭客並不會馬上發動「攻擊」，而是潛伏並悄悄讀著被竊電子郵件信箱內的
重要信件，並靜待最好的時機寄出各種有利可圖的詐騙郵件。



        當然，電子郵件信箱密碼外洩，也可能因為釣魚郵件內容的欺騙造成密碼外
洩。這類釣魚郵件的內容，多半為電子郵件信箱已滿、服務故障，並偽造成像是系統管
理者發出的郵件，它們很明顯的共通點是附上一個連往可輸入帳號密碼登入的詐騙網
址。這類釣魚郵件可以透過垃圾郵件過濾設備資安意識的提高來避免；但若是密碼設定
過於簡單、長久不變更、一個密碼用到底這樣的不安全習慣，24小時都可能曝露在被入
侵或洩密的風險之下。



        如何避免遭到各種詐騙、釣魚郵件而蒙受損失呢？除了企業建置相關的垃圾郵
件過濾設備外，內部帳號密碼強度的定期稽核也是必要的。在個人的資安觀念上則需要
記住一個最重要的原則，那就是「收到可疑郵件時，務必尋求其它管道再確認。」比
方：在匯款前，除了仔細看清楚匯款帳號是否有可疑之處外，透過電話再次確認是不可
少的；遇到郵件要求登入服務前，以電話或其它非郵件中提供的連絡管道與相關人員再
次確認，都可以有效避免風險。





※關於ASRC垃圾訊息研究中心：

ASRC垃圾訊息研究中心(Active Spam-message Research Center)，長期與中華數位科
技合作，致力於全球垃圾郵件發展特徵之研究事宜，並運用相關數據統計、調查、趨勢
分析、學術研究、跨業交流、研討活動..等方式，促成產官學界共同致力於淨化網際網
路之電子郵件使用環境。