1-2 常見的資訊安全威脅

資安威脅可以分成內部資安、外部攻擊及自然或社會突發狀況等類型，除了大家最擔憂且難以捉摸的外部攻擊之外，常見的資安事故多來自於內部人員操作所致，比如資料存取權限管理不當而遭盜用、誤點惡意連結、誤載惡意軟體、誤入釣魚網站遭騙取資料、連接使用帶有惡意軟體的隨身硬碟……等，隨著AI技術的提升和普及，也有越來越多藉由變聲或變臉來假冒他人的詐騙方式，工作和生活都不可不留意。

惡意軟體造成的影響

1. 電腦中的重要檔案遭加密綁架，由惡意軟體業者勒索要求支付贖金以換取檔案解密，否則刪除檔案。

2. 隱匿於電腦中，蒐集使用者操作時涉及的資料與數據。

3. 感染電腦中的系統與其他軟體，可能造成資料遭刪除或竄改、電腦或網路效能降低、發送惡意軟體給其他人等。

4. 提供使用者不必要的廣告，藉以向廣告商索取廣告曝光的收入。

漏網之魚，漏魚之網

別讓工作夥伴成為漏網之魚，或讓組織的資安管理成為漏魚之網！

即便組織已投入一定資源架起資訊安全的維護網，仍阻擋不了駭客利用人性弱點，如好奇心、信任和恐懼，設計出精心包裝的陷阱，讓人不知不覺地洩露敏感資訊或執行不安全的操作，讓組織的工作夥伴成為漏網之魚，組織的資訊安全網成為漏魚之網。

什麼是社交工程攻擊？

社交工程攻擊是駭客通過心理操縱，誘使個人洩露機密資訊或執行危險行為的手段。常見的方式包括假冒同事、上級或合作夥伴，透過電話、電子郵件或面對面交流進行欺騙。

常見手法

• 假冒身分：冒充內部人員或可信賴的外部機構，要求提供資訊。

• 緊急情況：製造緊迫感，讓受害者來不及思考就採取行動。

• 誘餌攻擊：利用誘人的優惠或消息，引誘點擊惡意連結。

防範方法

• 提高警覺：對異常的詢問保持懷疑，特別是涉及機密資訊時。

• 驗證身分：透過正式、官方渠道確認對方身分，不直接回覆可疑訊息。

• 遵守流程：不因外部壓力而跳過安全程序或政策。