行銷人員成APT攻擊最佳目標

行銷人員為了達到推廣產品或服務的極大效益，將自己的聯絡方式公開在網路上是家常便飯，也因此容易成為不肖駭客集團鎖定的目標，甚至直接寄發有駭檔案，只要稍有不慎或缺乏資安常識就可能誤中圈套，行銷目的尚未達成就先成為駭客APT攻擊企業的大漏洞。資安大廠(F-Secure) 大中華區總代理商的公關代表自述，一天遭受到數十次APT攻擊是常見的事，可見駭客入侵已經直接鎖定資安服務業者！

芬安全(F-Secure)大中華區總代理商翔偉資安科技的公關代表任素慧表示，日前收到一封偽裝回覆「芬安全2013全球病毒威脅報告」的夾帶檔信件，內文不但直指收件人的詳細資料，連公司名稱、信件內容都專門「客製化」，只要警覺心不夠高或是缺乏資安敏銳度的人，很容易就下載誘餌文件，成為駭客發動APT攻擊的最佳橋梁。任素慧表示身為公司對外聯絡窗口，時常需要發布相關資訊，尤其是像年度報告發表，都會留下詳細的聯絡資訊方便媒體聯繫，網路上也可以輕易搜尋的到，成為駭客APT攻擊鎖定的目標也不為奇，曾經一天就收過不下數十封的誘餌文件。不過因為自己在資安產業工作已經有高資安敏銳度，加上全面性的資安保護，因此對於這類針對式攻擊總能游刃有餘。

芬安全(F-Secure)大中華區總代理商翔偉資安科技營運長杜世鵬說明，網路行銷無所不在，網路上充斥著許多活動與資訊，為了方便消費者參與活動，多半會公布聯絡方式或是統一的活動e-mail，行銷人員為了爭取曝光，也常不吝於公布自己的連絡方式，但這些網路上可輕易搜尋到的資訊卻可能瞬間變成駭客的「攻擊名單」。尤其大部分企業內部的行銷公關人員工作緊湊忙碌，萬一缺乏資安防護觀念或是企業本身資安管理沒有做好全面性的防護，一旦內部任一台端點被入侵，不只商業資訊可能外洩，連企業內部的客戶名單及研發或產品的相關資料也可能被竊取利用，甚至用「滾雪球」的方式，假冒公司寄發假的活動訊息，既影響商譽也可能危害公司利益，甚至連帶造成企業主受到相關法律的懲處。杜世鵬建議，資安防護沒有分秒可鬆懈，我們期望企業管理者正視資安問題的嚴重性，包括提高員工安全意識，並全面性加強所有端點的防護力，尤其是中高階主管，不只掌握公司重要情資，也是執行員工間的橋梁，但善用科技管理專案進度的同時，若使用習慣與資安觀念沒有跟著一起升級與管理，反而會成為公司防護的嚴重漏洞。而2014將近， IT的管理目標也應該著重在漸進式的淘汰老舊的設備與系統，確保軟硬體的安全性降低受駭風險及強化端點安全管理。