观察電子郵件欺詐的現狀

即使新的通訊方式不斷涌現，電子郵件仍然是商業通訊中最流行的方法。其速度和可搜索性是電子郵件勝過其他形式的溝通的原因之一。由於其受歡迎程度和每天發送的敏感信息量，安全性始終是一個問題。隨著電子郵件繼續在業務操作中佔據一席之地，犯罪分子正在尋找每一個機會利用它的優勢。電子郵件欺詐仍然是竊取和利用個人數據以及組織網絡漏洞的主要方式之一。

電子郵件冒充通常被稱為釣魚、鯨魚或SMiShing，是電子郵件欺詐中更有效的形式之一。冒充電子郵件的目標是讓收件人相信它足夠合法，以至於收件人會採取行動。例如，一封似乎來自收件人銀行的電子郵件要求驗證其登錄憑證。收件人不希望發生任何事情，因此會按照提供的鏈接並不知情地將其信息提供給犯罪分子。另一個例子是如果有人打開了一個看起來真實的附件，但安裝了勒索軟件到網絡中。

以下是一些最近的統計數據，顯示電子郵件欺詐對企業可能帶來多大的問題。

• 2017年，電子郵件用戶數將超過37億，約佔全球人口的一半。
• 釣魚攻擊佔所有嘗試的網絡攻擊的91％。
• 人們遵循釣魚電子郵件的前三個原因是好奇心（13.7％）、恐懼（13.4％）和緊迫性（13.2％）。
• 2017年，電子郵件欺詐成為第二種最成功的外部入侵方法。
• 圖表顯示電子郵件欺詐是網絡犯罪分子使用的第二個最有效的工具。

實施兩種加密和電子郵件身份驗證是保護企業免受電子郵件欺詐的兩種方式之一。DMARC和STARTTLS都被證明非常有效，以至於美國國土安全部已下令所有聯邦機構實施這些標準來打擊電子郵件欺詐。

政府法規的制定是為了幫助保護敏感的客戶信息不落入網絡犯罪分子手中。那些需要遵守《健康保險機動性與責任法》（HIPAA）的醫療保健行業實體必須在包含個人健康信息的電子郵件通信“符合規定”之前實施訪問控制、審核控制、完整性控制、身份驗證和傳輸安全控制。使用客戶信用卡信息的公司必須符合PCI數據安全標準。PCI-DSS明確建議組織永遠不要使用電子郵件，無論是加密還是其他方式，分享信用卡數據。因為電子郵件存儲長時間，違反PCI關於授權後卡信息存儲和維護訪問控制的規則。不過，許多符合PCI合規要求的企業選擇使用電子郵件加密作為額外的安全措施。

-文章作者Alex Hooper