随着流行病的升温,我们必须在家工作以确保每个人的安全。它彻底改变了我们的工作方式,连同这些变化,电子邮件成为主要的交流方式,包括将文件传输给其他同事和客户。但近年来,电子邮件被攻击的风险也在增加。
每个人都一定听说过邮件欺诈(或电子邮件诈骗),黑客不断改变新的方法来通过电子邮件窃取您的信息。他们的目标不仅是普通人,而且是企业。大量电子邮件遭到攻击,造成经济损失和商业信誉下降。
常见的电子邮件诈骗
网络钓鱼
这种诈骗方法试图通过包含病毒链接或恶意程序的电子邮件窃取登录密码、银行账户等个人信息。黑客冒充银行、信用卡公司、社交媒体或政府机构等信誉良好的公司,通过使用看起来像来自政府机构或大公司(如facebook.com、paypal)的公共账户的电子邮件账户发送大量电子邮件.com,虚假 URL 可能是 faceboook.com、www.paypall.com。引导收件人毫不犹豫地点击链接或下载数据。这些病毒电子邮件渗透并感染您的计算机,以窃取个人/公司信息,例如登录密码、银行帐户等。
商业电子邮件妥协,BEC
商业电子邮件泄露 (BEC) — 也称为电子邮件帐户泄露 (EAC),是最具经济损失的在线犯罪之一。BEC欺诈是通过冒充高级管理人员的电子邮件帐户或公共帐户进行的。电子邮件的内容可能与机密或紧急任务相关,并发送给公司关联公司或金融机构、供应商等,引导收件人完成该过程,例如拦截合法的公司个人数据、财务和其他信息,甚至要求汇款到欺诈性账户。
BEC 诈骗中使用的电子邮件不会大规模发送,以避免被标记为垃圾邮件。此外,BEC 欺诈会诱骗受害者将资金转移给另一方,并且通常要求受害者快速且私下进行。曾发生一起BEC诈骗案,受害人是TOYOTA的子公司,造成公司近40亿日元的财务损失!
如何避免电子邮件欺诈(电子邮件诈骗)?
1. 提高网络安全意识
当您第一次收到某人的电子邮件时,您需要花一点时间仔细检查它,然后再继续。如果有带有链接或文件的附件,要求您提供个人信息,或通过点击链接要求您获得免费礼物,您应仔细检查域名是否正确。
2. 安装 SSL 证书 – HTTPS
如今,SSL证书是网站安全所必需的。SSL证书用于确保用户与网站之间传输的数据受到保护,包括信用卡号和个人信息等。客户在 SSL 认证网站上花钱会更放心。
从 2017 年 1 月开始,Chrome 浏览器会将不使用 https 加密但提供密码传输和信用卡服务的网站标记为“不安全”,同时也会在移动设备上显示。如果您打开网页并显示“不安全”警告,请不要输入您的个人信息,因为信誉良好的企业和机构网站都会安装 SSL 数字证书,尤其是电子商务网站!
3. 电子邮件加密
电子邮件安全也是信息安全管理中最重要的方面之一。但是,大多数电子邮件没有加密和验证功能。因此,除了具有 SSL 证书的加密功能之外,还有一个证书提供了用于电子邮件的加密功能——S/MIME 证书。
为了防止个人或企业内部数据在使用电子邮件时被窃取和篡改,企业应使用电子邮件加密和签名机制来确保电子邮件安全。所以,S/MIME等类型的邮件加密证书是少不了的!
S/MIME – 电子邮件证书推荐
什么是S/MIME 证书?
S/MIME(Secure/Multipurpose Internet Mail Extensions)是一种电子邮件加密证书,它是一种使用 PKI 技术对电子邮件内容进行签名和加密的数字证书。S/MIME 是 Certum 电子邮件 ID 的最高证书级别(第 3 类)。它可以对电子邮件通信进行加密,并提供数字签名来验证发件人的真实性,有效抵御网络钓鱼、BEC等常见的电子邮件诈骗。
第三类:用户在注册第三类证书时,除核对个人姓名、公司注册名称或网站网址及一般相关信息外,还需提供合法、正确的证明文件,且必须本人亲自申请并提供足够的证明文件以识别申请人。这一级别的验证也称为扩展验证 (EV)。
S/MIME 功能
1. 电子邮件加密
S/MIME 是一种电子邮件加密格式,通过使用公钥基础设施 (PKI) 对多媒体消息 (MIME) 进行加密而开发。在传输加密电子邮件时,可以确保机密性和完整性。只有目标收件人才能阅读加密邮件,未经授权的人不能阅读加密邮件,也不能在传输过程中截取和修改邮件内容。邮件加密提供两种特定的安全服务:
电子邮件保密:在发送电子邮件之前,您可以将收件人预设为唯一可以接收或查看电子邮件内容的人。电子邮件将在传输和存储过程中提供保密性。
数据的完整性:如果与电子邮件数字签名一起使用,电子邮件加密功能可以帮助您保护数据完整性,因为可能会发生某些加密操作。
2. 电子邮件签名
电子邮件签名,又称电子邮件数字签名(Digital Signature),用于识别和确认电子邮件签名者的身份、信息和真实性,以便收件人验证电子邮件是否真实。电子邮件签名可以消除 BEC 欺诈的风险。
S/MIME 帮助您出于商业目的验证客户,适用于交易机密、政府数据、医疗记录、金融电子或数字通信。数字签名提供以下安全功能:
电子邮件验证:数字签名用于验证身份,提供实体和其他所有者的身份证明。基本上,SMTP 电子邮件无法知道发件人,但数字签名可以向收件人验证您身份的真实性。
电子邮件不可否认性:数字签名将强制识别所提供的签名、合法信息,并且经过验证的签名不能被拒绝。
数据的完整性:当数字签名电子邮件的收件人验证数字签名时,收件人可以保证收到的电子邮件。一旦电子邮件被签名,在传输过程中所做的任何更改都将无效,以确保邮件的数据完整性。