資安問題基本上是老生常談,也許我們已經寫過很多遍都差不多,不過用家會犯的錯的確來來去去也是這幾個。
1. 透過搜尋器進入詐騙/不對的網站
這個年頭,很多用家都習慣用搜尋器找自己需要的網站(包括小編自己),就是連「網址」的概念也開始模糊。其實這樣沒有不對,前提是用家能夠確認進去的網站是對的。上個禮拜我們收到客戶求助說郵箱Webmail一直登不進去,說密碼不對。我們從客戶截圖看到,連結根本不是他們公司的Webmail,連結估計是搜尋「Roundcube」出來的。
Roundcube 是開源軟體,大部份虛擬主機廠商的Webmail都是用這個(不論是cPanel還是Directadmin)。直接在Google 搜「Roundcube」能正確連到自己的Webmail是(接近)不可能的,而隨便進入不明網站輸入自己的郵箱密碼更會產生資安問題,如果你曾經試過這樣做應該要儘快改密碼。比較好的做法可以考慮把Webmail連結加到我的最愛,或者手動輸入,以科比為例,我們的連結是 https://客人網域/webmail 。
2. 郵箱密碼的存放方式
首先要理解一點,郵箱密碼在伺服器端是已經加密的,就算一整台伺服器被入侵,黑客也是不太可能拿到郵箱密碼的,所以密碼洩漏在大部份情況下都是從用戶端發生。而根據過去經驗,發生密碼洩漏大多是因為三大原因。
一) 不安全連線
例如旅行期間使用飯店免費無線網路。建議使用Outlook接收郵件,務必確認有打開安全連線(SSL),我們公司基於提供最大相容性所以還有打開非SSL連線,但如果裝置有相容,請務必使用安全連線。
二) 錯誤進入詐騙網站連結嘗試登入或者間接因此電腦感染病毒
公司IT主管或員工應提供培訓,教育同事分辨詐騙電郵及網站。
三) 密碼都在一個「文件檔案」
就我們知道,有不少客戶的IT主管都會把整家公司的郵箱跟密碼儲存在一個Word或者Excel檔,方便協助用戶處理郵箱問題。每當我們知道有這樣的客戶,我們一定主動勸諭不要這樣做,因為風險非常高,萬一電腦感染病毒,就是一整家公司的郵箱都泡湯。不過我們也明白勸諭作用不大,只能說,如果執意這樣儲存的話,請確保你的電腦是安全的,還有把Excel檔存在NAS的IT主管,尤其NAS有外部開放的,祝你好運。
3. 提防「中間人」
中間人攻擊(Man in the Middle Attack)是非常普遍的電郵「攻擊」,黑客透過偷看雙方電郵,假裝其中一方向另一方發送電郵,說自己公司銀行帳號有變更,需要匯款到另一個帳號。我可以肯定地向各位報告,就算用兩大企業郵箱(就是各位都知道的那兩家),我們也有聽說他們的客戶遭遇中間人攻擊。我們公司有一些機制避免中間人攻擊,然而兩大都會發生的事情,我們更不可能保證使用我們的企業郵箱可以避免,所以重點是發生的時候如何避免損失。
我們的建議是,如果郵箱用戶是負責公司會計事項,會透過電郵與客戶發送銀行匯款資訊,建議可以在電郵簽名加入注意事項,告知客人當收到「匯款資訊更新」的電郵時,應透過電郵以外的第三方渠道(如電話)向用戶作雙重確認,以免任何一方遭受假冒電郵導致的金錢損失。
另外特別一提,避免把自己公司網域加入白名單,因為這樣會影響系統過濾假冒郵件。
