【有險可守】安全培訓好重要 33%員工舉報電郵帶惡意內容
安全意識培訓真係有用㗎!根據 IT 安全公司 F-Secure 最新發表的研究報告,有1/3由員工舉報的可疑電郵,的確內藏惡意行為,例如包含虛假網站連結、帶有惡意功能的附件。萬一有惡意電郵可以繞過防護系統進入收件箱,員工就是一條重要的防線,所以老闆們一定要做好培訓工作呀!
不少調查顯示,九成企業入侵事件是通過釣魚電郵達成,例如員工誤信電郵內容打開帶有病毒的附件,又或被引導至虛假網頁然後輸入公司帳戶資料,另外亦有員工墮入商業電郵詐騙 (BEC) 陷阱,將鉅款匯入犯罪集團的銀行帳戶,令公司帶來難以估計的損失。而 F-Secure 最新發表的報告,便著眼於員工舉報可疑電郵的準確度。
研究團隊一共分析了 20 萬封由企業員工於今年上半年舉報的可疑電郵,結果確認 33% 電郵的確帶有惡意行為。最多員工認為電郵有可疑的原因,有 60% 認為當中含有可疑的連結,其次為電郵由可疑或不明人士發送,其他如電郵內有可疑附件或疑似垃圾訊息,都是員工決定舉報的主要元素。另外,研究員又指出,如有「Warning」、「Your funds has」或「Message is for a trusted」等字眼在電郵內出現,則該電郵便極有可能含有惡意成分,因為這些字眼旨在令員工相信它較其他電郵重要,而且亦隱含必須盡快處理的意思,以捉緊員工的心理弱點,跳過分析電郵真偽的警覺性並直接執行電郵所示的行動。
報告同時指出,調查進行期間平均每個員工會舉報 2.14 封可疑電郵,而擁有過千員工的企業,則每月平均會舉報 116 封。雖然數字看似很少,但考慮到這些電郵均可繞過防護工具的攔截而進入一般收件箱,可見嚴重性仍然很高。為了減少公司被入侵的風險,企業管理者必須重視員工的安全意識培訓,不能期望防護工具能 100% 攔截所有攻擊。
