在企业的发展和运营中,电子邮件密码泄露或电子邮件服务器被入侵,电子邮件信息将被恶意攻击、数据窃取和转售、欺诈等现象尤为严重。
企业用户邮箱账户密码被盗后,通常用于发送垃圾邮件,或向企业发送欺诈邮件,窃取更多的邮箱账户,或用于更先进的商业欺诈,如欺骗财务人员汇款、向合作伙伴或客户发送虚假信息等。
更糟糕的是,侵入电子邮件系统,利用系统漏洞攻击企业内网,黑客利用被盗电子邮件持有的内网访问权限攻击企业内部,窃取大量重要的企业数据。
国内安全团队对部分企业邮件系统的异常情况进行了调查,发现攻击者至少窃取并控制了29家企业的数千个企业邮箱。在攻击者控制的企业邮箱中,9家属于制造业企业,7家属于互联网公司,3家通信企业,2家机构和金融证券企业。
电子邮件系统受到攻击,电子邮件密码泄露,内部员工的疏忽或意图,将泄露企业的机密数据,给企业造成巨大损失。
案例一
20142001年1月24日,当王华向供应商发送电子邮件时,王华向供应商泄露了维美德公司的所有产品报价和客户信息。
维美德公司认为,王华曾是维美德公司标准件采购部主任,负责维美德公司的报价清单和所有客户信息等商业秘密,王华应对维美德公司承担保密义务。
王华多次通过电子邮件将维美德的价格清单和所有客户信息发送到外部邮箱,泄露了公司的商业秘密。维美德将王华告上西安中级人民法院,要求王华赔偿公司损失50万元。
案例二
20172009年9月26日,世界四大会计公司之一德勤被黑,大量客户邮件被泄露。
Deloitte(德勤)公司认为,身份不明的攻击者可能早在2016年10月或11月就入侵了他们的电子邮件系统。攻击者通过使用管理员账户成功获得了它Deloitte(德勤)公司电子邮件服务器的访问权,系统没有部署任何双因素身份认证机制(2FA),因此,攻击者可以不受任何限制地访问Deloitte微软邮箱(德勤)。
致使Deloitte(德勤)24.4员工与客户之间的电子邮件处于危险之中。在此期间,德勤内部电子邮件中交换的安全政策、审计日志和各种法律和财务信息都受到黑客的监控。
由此可见,企业邮件存在诸多安全隐患,造成的损失可能无法弥补。因此,必须足够重视其安全防护,企业应该防范?
1. 在开发操作系统时,大多数组织专注于开发先进的安全功能,以保护用户信息。谷歌、微软和苹果等顶级操作系统公司在软件工程师的帮助下保持了以前版本的安全水平。更新版本以保护用户的数据,并使用技术防止网络犯罪分子窃取数据。因此,请确保企业PC“正确修复和更新”确保企业数据安全。定期刷新企业项目将帮助企业填补任何安全漏洞,从而及时解决潜在问题。
2. 加强员工培训,让所有新员工接受数据安全培训,并要求所有员工在每年年初参加深造课程,以确保最新的安全标准能够让他们牢记在心。虽然这种培训可能很无聊,但它是必不可少的,只需要很短的时间就能涵盖基本细节。例如,员工应将所有设备(如台式机、笔记本电脑、平板电脑、电话)视为入侵组织系统的跳板;不要写或留下密码记录,以防被他人发现;安全验证未经验证的电子邮件或电话,需要输入密码或其他认证信息。它还应包括建立一些最新的非法统计信息,以帮助员工了解威胁的严重性和普遍性,以及可能对组织造成的严重后果。
3. 模拟网络钓鱼攻击的许多安全问题都是由人为错误引起的,例如,员工无意中单击恶意电子邮件中的链接。鱼叉网络钓鱼攻击(即针对特定目标的网络钓鱼攻击)导致更有可能招聘员工,因为它们针对特定人员。这些消息可能会引用与某些部门或传统工作职能高度相关的信息,如财务部门收到来自假银行的组织财务邮件、人力资源部门收到来自招聘网站的特定人才招聘信息等,更容易欺骗员工,诱导员工点击此类钓鱼邮件链接。
免费或付费的网络钓鱼模拟器可以让组织通过发送某些特定的电子邮件来测试员工对网络钓鱼电子邮件的辨别能力,当有人点击了这些消息时,组织将对其进行警告。通过使用这类模拟器,组织可以对员工进行积极的培训,以帮助他们提高对网络钓鱼攻击的应对能力。切记,要提醒员工如果遇到无法100%确保邮件绝对安全的情况下,都要慎之再慎。而如果员工遇到熟悉的发件人发来的邮件,看上去有些不正常时,那么就要及时通知组织的IT检查人员。
4. 做好企业网站部署等基本安全防护SSL安全证书、企业电子邮件部署电子邮件证书等,做好最基本的安全保护工作,避免小损失。与无法验证的通信人身份和数据完整性相比HTTP协议,HTTPS是一个基于HTTP使用安全套连接字层的安全通信通道(SSL)信息交换具有身份验证、信息加密和完整性验证的功能,可以保证传输数据的机密性和完整性,甚至服务器身份的真实性,从而有效避免HTTP劫持问题。
同样的,邮件证书对电子邮件进行数字签名并加密传输,一方面可以保证邮件发送者身份真实性,另一方面保障了邮件传输过程中不被他人阅读及篡改,并由邮件接收者进行验证,确保电子邮件内容的完整性。