帐密没外泄也可能被盗？ 3 招让你安全报税远离被骇

五月即将进入报税季，每年这时节就是网络犯罪分子展开网络钓鱼诈骗、窃取个资最活跃的区间，他们看中企业体系通常会通过「网络报税软件」或配合的「会计公司」进行报税时，可能会出现的资安漏洞，采取各种不同方式诈骗资料。

SOSI 远程连线控管系统开发者邓慕凡表示：「就算帐密没外泄，也可能有被窃取的风险。」并列出3点报税安全守则提醒企业及纳税人，避免成为网络犯罪的受害者。

1、不要「盲点链接」，看清信箱后缀网址

众所周知，来路不明的网址有可能是钓鱼诈骗，但在报税旺季，网络犯罪分子以假乱真寄出假税务文件（e.g. 拖欠税款通知），并以附件夹带的 PDF 文件作为攻击媒介，诱使收信人点击链接下载。根据 Security Week 一份报导指出，过去在南美洲就有犯罪集团在报税季节仿冒哥伦比亚政府的 Email 后缀网址（Suffix URL）寄送钓鱼信件，他们更采用密件副本（BCC）方式送信，规避垃圾邮件的筛选。

后缀网址指的是网址后面，用于识别网站国家、组织性质或地区的英文缩写，像是 .com、. org、. edu、. gov 等，都是常见的后缀网址，大众在收到 Email、短信时，务必看清「寄件人」及信箱「后缀网址」，千万别盲点链接，误入犯罪集团伪装的「官方网站」留下资料。

2. 不要用浏览器「记密码」，降低外泄风险

密码是资料外泄的最后一道门，一但曝光个资就会被盗走，虽然设置复杂密码有助于降低风险，但只要电脑不慎中了木马，密码再复杂也可能没用，网络犯罪分子即便不知道帐密也能盗走，上个月就发生了网络电话系统商3CX的公司员工不小心下载到恶意软件VeiledSignal，导致公司内部网络被渗透的事件，黑客通过员工电脑浏览器窃取重要资料，包含密码。

类似手法的漏洞还有近期新型态的窃密程序Vector Stealer，黑客盗取用户计算机 RDP（远程桌面通讯协议），透过远程桌面联机方式，取得计算机桌面控制权，不但可自由操控电脑，包含浏览器密码、信箱邮件、通讯软件等，甚至能接管用户身份，进入公司内部系统窃取资料。必须知道，以浏览器纪录密码只是方便，但没有资安防护措施。

3.不要嫌麻烦，开启密码双重认证防护

开启两步骤验证（2FA）或使用一次性密码（OTP）是保护密码最安全的方式之一，即使桌面被远程挟持或黑客通过浏览器自动记录密码登录重要平台，只要有启动双重认证，打开手机App收取30秒变动一次的随机密码，就能增加黑客在盗取密码上的复杂度，目前常见的2FA包含谷歌 Authenticator、Microsoft Authenticator 或 Authy，目前有不少热门网站也会提供会员 2FA 服务，企业在选择报税软件或会计系统，也可以留意系统是否有双重认证的资安防护。