82% 的資料外洩是由人為錯誤造成的,駭客擅長利用人們的恐懼以及認知偏誤來獲取資料,或是針對特定員工進行攻擊。網路釣魚(Phishing)與詐騙信件是最常見也最難以防範的攻擊方式,攻擊者通常使用電子郵件中的連結引導使用者連到極為相似的釣魚網站,進而騙取電子郵件帳號、密碼及信用卡資訊等機密個資,或是將惡意程式、勒索軟體直接下載到用戶端電腦。
KnowBe4 從員工意識阻擋網路釣魚攻擊
財務部門的一名員工收到執行長寄來的電子郵件,要求他立即支付供應商發票。該電子郵件包含發票附件以及執行長的電子郵件簽名。由於電子郵件中傳達了急迫性,員工支付了發票並繼續他們的工作。不幸的是,執行長的電子郵件被駭了。無論人們的科技技術水平如何,還是會因為這些騙局的熟悉性和急迫性而被欺騙。企業可以透過了解駭客如何欺騙員工,識別潛在的認知偏誤,提供真正改變行為的培訓計畫,減少資安事件發生。
駭客常使用的 9 大認知偏誤與應對策略
為了保留大腦的認知資源(cognitive resource),我們經常會下意識地使用心理快速方法,稱為「認知偏誤」。雖然這些直覺反應不一定符合現實或理性,卻深深影響我們的思考與決策。駭客正是利用這些心理弱點,設計出看似合理卻暗藏陷阱的詐騙手法,例如偽裝成主管發信要求提供資料,或用限時優惠誘導點擊惡意連結。以下列出駭客經常操作的 9 種認知偏誤:
| 偏誤類型 | 駭客手法 | 防範建議 |
|---|---|---|
| 1. 權威偏誤 | 假冒高層主管寄信指示轉帳或提供帳號 | 確認寄件人信箱、雙重驗證程序 |
| 2. 樂觀偏誤 | 宣稱調薪、誇張折扣優惠、名額有限的機會 | 確認郵件來源與內含連結 |
| 3. 即時壓力 | 提示系統異常需即刻登入確認 | 謹慎處理急迫性郵件,避免當下回應 |
| 4. 社交認可 | 冒充同仁推薦檔案、轉寄重要訊息 | 僅接受內部協作平台文件分享 |
| 5. 情感操縱 | 訴諸恐懼(帳號被封、罰款警告)、同情(公益捐款) | 建立可疑郵件回報機制與教育課程 |
| 6. 習慣效應 | 假稱延續先前流程要求提供資料 | 提醒員工重要操作需查證記錄 |
| 7. 光環效應 | 假冒知名品牌、公司或目標認識的可信對象 | 教育員工再熟悉的寄件者也需警覺 |
| 8. 近期事件 | 利用全球性事件,如 COVID-19 大流行,誘使目標採取行動 | 強化員工獨立判斷意識 |
| 9. 好奇心態 | 利用人們對於不確定性的渴望,讓人不自覺跟進操作 | 增強對信件來源的警覺性 |
企業如何提升防禦詐騙郵件的能力?
傳統的垃圾郵件過濾機制無法擋下所有進階詐騙郵件。KnowBe4 提供以下工具與服務,有效補強防線。
-
郵件伺服器安全評估(MSA)
模擬寄送 40 種不同的網路釣魚信,測試企業郵件系統是否能有效攔截惡意信件。
-
網路釣魚回覆測試(PRT)
鎖定那些容易誤信詐騙內容並回覆的高風險員工,協助企業早期預防。
-
Phish Alert Button(PAB)
整合於 Outlook、Gmail 的報案按鈕,讓員工可一鍵回報可疑信件,並自動從收件匣移除。
-
模擬釣魚演練 + 課程訓練
提供多語言、多角色導向的互動式課程,針對不同職務安排訓練,確保提升資安意識。
KnowBe4 從員工意識阻擋網路釣魚與詐騙郵件
所以在整個組織中,每位員工都需要了解如何做出最安全的網路決策,才能避免個人或企業資產遭受侵害。KnowBe4 深知人為因素的安全性被嚴重忽視,因此提供全新的意識培訓方法來幫助企業管理資訊安全問題。該方法整合了使用真實世界模擬攻擊的基準測試、互動培訓,企業可透過持續進行模擬網路釣魚及分析報告回饋改善,提高企業資安韌性!
