|
但这还只是被上报的案件数目,约占新西兰全国发生案件的4%而已。网络犯罪给新西兰造成的损失金额约为2.5亿至4亿纽币。 而这些损失,本来都是可以避免的! NetSafe的Chris Hails表示新西兰的网络犯罪和攻击的数目正在上升。但很多企业没能报告这些网络犯罪案件,一是因为保险涵盖了欺诈所带来的损失,二是因为上当受骗通常让公司觉得是一件“尴尬”的事。此外还有一个原因就是新西兰并没有强制性的披露网络犯罪案件的规定,所以受到攻击的机构或公司不需要对此上报。 有不愿披露姓名的业内人士表示,在新西兰很多时候网络攻击都没有公之于众,而这也就意味著新发案件与威胁存在的信息不像在其它国家那样容易传播过去、从而也就不能引起更多机构和人员的警惕。当第一家公司遭到攻击后,没有向外透露任何信息,其结果就是公众对此一无所知,接下来就会第二家公司、第三家公司措手不及受到攻击。 警方发言人则称,没有理由认为网络犯罪在新西兰比其它国家更容易被隐瞒。不过,即使企业报告犯罪,要提起诉讼依然非常困难。 新西兰企业因网络攻击而遭受的损失高达数百万纽币。平均每例案件的损失为12995纽币,最高一例为210万纽币。 由于黑客通常在海外实施攻击,对世界各国的执法机构都提出了巨大的挑战。 电子邮件系统本身的开放性也成为犯罪分子利用的一个弱点。最近一起案件是Te Wananga o Aotearoa的首席财务官遭遇到的网络“钓鱼”诈骗。在收到一封海外骗子冒充公司首席执行官要求转钱的电子邮件后,该财务人员按要求发去了10万纽币,事后黯然地引咎辞职而去。 新西兰消防服务Fire Service也被曾因受骗损失5.2万纽币,两名工作人员被指责“缺乏判断力”——他们按所谓“上级老板”的要求将钱转给土耳其的帐户,当然这又一个假冒上级骗取钱财的案例。 在一个公司里,什么人最应当接受有关如何甄别网络诈骗的教育?答案是:最有权接触、处置保密信息和转移资金的人员。 黑客通常将攻击高层人物视为“捕鲸”,因为这类目标是实实在在的“大鱼”。使用电子邮件进行欺诈与所获回报相比其投入成本可谓微不足道。所谓“捕鲸”者,发出虚假电子邮件只需要很少的一点技术知识和一点精力,而一旦成功,丰厚的利润数以百万计。可是由于技术含量过低,这类犯罪甚至不被称之为真正的“黑客攻击”。 所以说,关键人员的风险意识非常重要。 新西兰理工学院(Unitec Institute of Technology)的计算中心网络安全负责人Abdolhossein Sarrafzadeh表示,许多公司在遭受攻击之前都没有意识到自己处于风险当中。他说大多数的攻击就是通过简单电子邮件成功实现的。 在刚刚过去的数月里他见过的一个真实例子是,由于骗子假冒为一家公司的中国合作伙伴,伪称自己的银行帐户改变,而这家公司的员工信以为真按邮件所述将款转到指定帐户,结果损失20万纽币。 “就这么简单,这些骗子声称自己是首席执行官并且要求转钱。而犯下这种错误完全只是因为缺少警惕。” Sarrafzadeh预计由于这类诈骗造成的损失在新西兰每年价值高达约2.5亿纽币,并且情况还在逐年恶化。 在海外拥有合作伙伴的公司需要特别小心。因为骗子可以通过拦截贸易伙伴的电子邮件然后制造细节逼真的假发票的方式,从而骗取钱财。 Netsafe推荐公司在签准转账时采用“双人规则”,并且要确保任何处理钱款支付工作的员工接受适当的训练以及能够识别可疑的电子邮件。 Kiwicon计算机安全大会的组织者之一Adam Boileau介绍说,只需四个步骤就可能完成实施网络犯罪: 1,侦察 在社交网站上搜索公司的名称,找出一批公司作为目标,并在谷歌上搜索找出这些公司的电子邮件地址。 2,钓鱼 向该公司的员工发出电子邮件并窃取密码。常见骗局例如:“请点击此链接查看最新的人力资源津贴规定。因安全原因需要您输入本地用户名和密码”等。 3,深入 “请使用密码登录本公司web页面形式的电子邮件系统。” 4,行动 “请阅读邮件,另存地址簿,通过电子邮件访问通道完成密码重置等。” 到了这一步游戏就已经结束了。并不需要通过地下暗网,黑客仅仅只是采用了最为最基本的工具就已经获取公司信息和机密内容从而可以为所欲为了。 也许谁都没想到网络攻击如此轻易就可完成。千里之堤,溃于蚁穴,所以每个人每一间公司都要注意防患于未然,将强化防范意识和普及相关知识与经验作为预防网络攻击的重中之重。 应对网络犯罪的最好方法就是事先给予员工足够的知识如何和培训: 辨识可疑的电子邮件: ‧查对网址的异常之处——它可能看上去拥有一个正确的公司名称,但结尾却是biz或com,而不是新西兰公司所用的.co.nz。 ‧注意以secure.com结束的网址,例如[email protected]”。查看是否存在拼写错误。 ‧是否所收到电子邮件将你称呼为“valuedcustomer”(重要客户)。一般来说,正常的公司或企业的邮件的通常作法会是称呼收件人的真实名字。 ‧永远不要向他人提供你的密码或认证信息,合法的企业不会在电子邮件中向人们索取这些信息。 ‧不要让“紧急”的邮件主题吓到你,比如什么“账户暂停”或“未经授权的登录尝试”,这类邮件往往只是罪犯在实施“网络钓鱼”。 ‧如果发来的邮件包含附件,而你事先对此邮件内容和发件人等一无所知,那么就不要点击打开附件。这类陌生附件可能包含恶意软件、可能通过后台运作盗取你的重要商业机密或客户信息然后向你敲诈勒索。 ‧如果邮件来自你从没听说过的公司,先用谷歌搜索查对它是否真的是合法的公司。网络钓鱼罪犯经常使用的手法是创建看上去真实的商标品牌。不要点击邮件的标题或签名处的链接网址。 ‧如果电子邮件的地址和主题令你起疑,最好的办法是不要打开它。 ‧如果你对电子邮件不确定,或如果你认为可能成为电子邮件诈骗的受害者,联系网络安全监控公司NetSafe,即0508 NETSAFE(0508 638 723)寻求帮助。 (责任编辑:新西兰 XinXiLan) |
