一個點擊,損失千萬:資訊安全領域有個殘酷的事實 —— 再強的防火牆也擋不住員工的一次「好奇點擊」。技術防護只佔 20%,人的習慣與意識才是決勝的 80%。
再以最近南韓 G 槽事件,越是重要的資料,落實執行資安的重要性也越大,備份技術面並不難,但願意落實去執行才是關鍵,當然這麼大的管理機構會忽視備份,不太可能,外界報導細節眾說紛紜;就算技術具備,還要編列足夠的預算、並落實演練才是關鍵。
資安重要性、資安意識,不能只在 IT 人員,需要是全公司全員有資安意識,還有筆者苦口婆心在 Day26 提出的 資安要自上而下,需要是高層支持、知道與辨識風險後,願意預算支持,IT 技術才有落實的可能,才不至於困於無米之炊。
💡 IT 技術只能擋風雨,人為習慣才能擋子彈。
今天整理了一些 安全意識 的資料,可以供企業全員參考。
(真實案例改編)
ABC 實業公司,老闆詢問會計,國外 DEF 企業的貨款已經拖了一個多月,怎麼還沒入帳。會計莊小姐說:每個月底都有寄送對帳單,不然我們在請業務 林經理詢問。
林經理立馬寫信詢問,DEF 公司則回覆,已經付款。
經過雙方仔細查對,是對方收到我方更改銀行帳號訊息,他們已經依照指示付款的新的銀行帳戶。
這個 顧客有付款、我們沒收到錢的事件,讓 ABC 公司損失了數百萬。
ABC 公司業務 林經理的信箱,密碼設定是公司的電話號碼,駭客在展覽場合拿到 林經理的名片,很容易就可以進入 林經理的信箱。
駭客可以進入信箱後,不動聲色,暗中觀察、學習 林經理寫信風格、語氣...,先是告訴顧客慢一點在付款,然後在 中秋連假發信告訴顧客:更改銀行帳號、並請立即付款。
DEF 公司與我們本來就有時差,又在連假電話聯繫不上的情況下,被緊急催款...,然後就匯款到駭客的銀行帳號了。
💡 快事緩辦 (台語:緊事寬辦)
💡 外部來信≠內部指令;急、催、改流程,警覺心要起、先停下確認之。
(真實案例改編)
ABC 實業公司 小珍負責公司社群經營,某一天收到 Facebook 公司,說是違反條款,需要驗證,驗證後隔天,Facebook 粉絲頁管理權就不翼而飛了...
小珍 收到的訊息如下:
Facebook 關於違反條款的重要通知!
- 如果您不驗證,您的帳戶可能會永久鎖定。
我們想通知您,您的 Facebook 帳戶目前正在接受審核,並且可能會被暫停。 2025 年 9 月 25 日,由於檢測到被認為違反我們社群標準的內容,包括不適當的圖像、語言或內容。
◉ 為了保護您的帳戶,您必須向我們驗證您沒有違反規則,以保護和維護帳戶的運作。請造訪下麵的申訴頁面開始驗證流程:
https://facebook-meta-team-2025-pages-net-br.pages.adm.bq/facebook-help
注意:如果我們在接下來的 12-24 小時內沒有收到您的回復,您的帳戶可能會被永久停用。
Facebook Community Support Group
© 2025 Meta Platforms, Inc. – All rights reserved.
小珍 心想,Facebook 是公司業績來源之一,是不是自己寫了什麼內容違反規定,那就該上去瞭解、並說明清楚,務必好好保護多年來經營的幾十萬粉絲的成果。
結果,點了連結,輸入密碼,整個過程都長得跟平常操作的 Facebook 一樣,最後最後,很開心留言說明了。就在等待 Facebook 回覆,之後好跟老闆報告:我幫公司做了一件好事。
可是明天上班時,卻發現 Facebook 登入不進去了,粉絲頁被別人張貼了其他訊息。這下 小珍 慌了...
💡 駭客靠的是你的好奇與焦慮;你多看一眼、多確認一下,他就少賺一筆。
💡 風險不稀奇,掉以輕心才可怕。
資安事件繁多,筆者也難以一一列舉。僅整理良好的工作習慣,如下表所示,供大家參考。
| 工作習慣 | 說明 |
|---|---|
| 離開座位立即鎖定螢幕 | 按 Windows + L 鍵鎖定螢幕,防止他人存取你的電腦 |
| 定期更換重要密碼 | 每 3-6 個月更換一次,避免使用生日、電話等個人資訊 |
| 啟用多因素驗證(MFA) | 重要帳號如郵件、雲端服務都要開啟 MFA 保護 |
| 謹慎檢查郵件寄件者 | 仔細核對寄件者網域,注意拼字是否正確 |
| 不點擊可疑連結 (點前三步驟) | 將滑鼠移至連結上方查看真實網址,有疑慮就不要點 (游標懸停看網址 → 展開完整寄件位址 → 檢查網域是否可信。) |
| 重要變更電話確認 | 收到帳戶變更、付款資訊異動等郵件,必須電話確認,並且不使用信件中的電話號碼,要從自己通訊錄中的電話號碼來聯繫 |
| 不使用不明 USB 裝置 | 撿到或來源不明的隨身碟不要插入電腦 |
| 避免公共 Wi-Fi 處理敏感資料 (或需經過 VPN) | 在咖啡廳、機場等地避免登入重要帳號或處理機密文件 |
| 定期備份重要資料 | 個人重要檔案要定期備份到雲端或外接硬碟 |
| 保持軟體更新 | 作業系統、防毒軟體、瀏覽器都要開啟自動更新 |
| 清桌政策 | 離開座位時收拾桌面敏感文件,不在螢幕貼密碼便條 |
| 主動通報異常狀況 | 發現電腦異常、收到可疑郵件要立即通報 IT 部門 |
| 可疑三連拍 | 先截圖 → 斷線(關 Wi-Fi/拔網線)→ 立刻回報 IT,留證據不自行刪檔。 |
| 只使用公司核准的軟體 | 不隨意安裝來路不明的軟體,使用正版授權軟體 |
| 妥善保管門禁卡 | 不借給他人使用,遺失立即通報更換 |
| 定期檢視帳號登入記錄 | 每月檢查重要帳號的登入活動,發現異常立即處理 |
| 不在郵件內登入 | 避免直接在郵件內登入系統,改從公司入口或書籤進入,避免假登入頁面。 |
| 外部來信提高戒心 | 外部的郵件特別留意,語氣中有「急、催、改流程」更要小心 |
| 共享連結要有期限 | 雲端分享預設到期日與最小權限,定期回收外部連結。 |
| 小心掃 QR Code | QR 要登入/付款先停一下、確認一下,或改用官網/官方 App 查驗再操作。 |
| 公私用途 涇渭分明 | 公司的事不使用私人信箱 (Line)、私人信箱 (Line) 不談公司的事 |
💡 一個好習慣,抵過十套設備。
資安不是一套軟體,也不是一次講座;它是一群人每天做對的小事。
資安也不能只靠 IT ,而是全公司每個人的責任。今天透過真實案例我們看到:
一個簡單的「點擊」或「輸入密碼」,就可能造成企業數百萬損失或多年經營成果瞬間歸零。
👉 記住:駭客最擅長利用我們的「信任感」、「好奇心」和「時間壓力」。當你感到被催促或擔心時,反而要更加冷靜。慢一分鐘確認,勝過快一秒後悔。
資安防護不需要高深技術,需要的是每個人都養成良好的安全習慣。從今天開始,讓我們一起成為企業資安防線上最堅實的守護者!
💡 技術防線只能擋風雨,人的習慣才擋得住子彈。🎯
iThome鐵人賽
看影片追技術
看更多