Spaceship 博客

數碼時代中的電郵安全之道

很難相信,電郵在差不多 50 年前就已經被發明。當然,它花了一段時間先普及到你我這樣的一般人都可以使用。不過快進到今日,全球已有超過一半人口使用電郵。

去年,每日有超過 3,600 億封電郵被發送,清楚顯示即使現時已有更多更即時的方式讓我們來回傳送訊息,電郵依然是溝通中穩固不變的重要支柱。無論是發送正式訊息、較大的附件,還是單純記錄購買資料,都非常重要。

但就像最好的創新一樣,它的誕生也伴隨着一些限制——以及愈來愈多的安全問題。

沒有人可以倖免

當我們想到電郵安全時,自然會想到自己的個人經歷。像是那次我們差點誤信詐騙電郵,或者朋友的郵箱被黑客入侵,而我們不得不通知他們。但可以說,電郵帶來的最大威脅其實是對 企業 而言。據報道,單在 2024 年就有 高達 94% 的機構 曾成為詐騙受害者。

為甚麼企業會成為如此吸引人的目標?首先,每一個人都可能是一個弱點。無論是糟糕的密碼,還是人類傾向信任他人的天性,同事都有很多方式可能成為攻擊受害者,而且並非全部都顯而易見。

小型企業特別容易受到聲稱來自客戶、服務供應商和供應商的詐騙電郵影響——尤其當你作為小企業東主,正獨力兼顧多項責任時。不過,即使是擁有專業安全團隊的大型企業,也並非百毒不侵。

我們只要看看近期新聞,就能見到大型企業因電郵出錯的例子。一間 新加坡公司因偽冒供應商電郵而被騙,向詐騙帳戶轉帳 4,230 萬美元。INTERPOL 協助他們追回約 4,100 萬美元,但這仍然是一個代價極高的錯誤。

最常見的電郵威脅

電郵威脅有很多 種類。針對企業最常見的電郵攻擊形式包括:

  • 網絡釣魚

  • 惡意軟件

  • 遭入侵的商業電郵

  • 假發票

在危險清單中排首位的是網絡釣魚,當中 91% 的個案涉及資料流失。在 GDPR 和 CCPA 等資料保護法規日益增加的世界裡,這絕對是一場惡夢。不過,要降低這種風險其實沒有你想像中那麼困難。

安全由身邊做起

保障電郵安全不一定很複雜。你可以做很多事情來建立有效的第一道防線——除了花少量時間之外,幾乎不用任何成本。

防範網絡釣魚意識

在這方面,一點點培訓就可以大大提升你的電郵安全。如果你是個體經營者或小型企業,單是閱讀這篇文章,你已經做對了!如果你有較大的團隊,不妨召集大家,一起仔細講解甚麼是網絡釣魚,以及它可以有哪些不同形式。雖然有些人可能會對基礎內容翻白眼,但當你更深入說明 網絡釣魚可以如何以多種方式出現,甚至演變成「whaling」 時,即使是熟悉網絡威脅的人也能重新溫習一遍。

可惜的是,在網絡釣魚方面,人類正正就是最脆弱的一環。它利用的是我們的心理,以及我們對他人的天然信任。因此,從一開始就看不到釣魚訊息,本身已經是一大優勢——這就是為甚麼你應該尋找一個把強大反垃圾郵件過濾功能列為重點的電郵服務供應商。稍後會再詳細說明。

高強度密碼

撇開培訓不談,第一道防線同時也是最容易實施的——密碼。在這裡,了解心理因素如何對我們不利同樣非常重要。為了方便,我們都想建立一些容易記住的內容,但那 可能 正正是安全的反面。生日、電郵地址、親友姓名,或我們生活中重要的事物,都可能讓真人黑客搶先一步。但當然,事情不止如此。

當黑客利用機器或腳本入侵時,單詞本身就會拖累我們——因為歸根究底,它們是有限的,而我們更傾向選擇某些詞。因此,隨機組合數字、符號,以及大小寫字母,會令密碼更難被猜中。 密碼管理器 有助產生獨特而且設計上更難被破解的密碼。

但對於喜歡容易記住密碼的人來說,一個不錯的替代方案是用整句容易記住的短語作為密碼。長度本身就令它按定義更安全。在密碼中多加一個小寫字母,破解難度就會增加 26 倍。多加三個小寫字母,難度就會增加至 26^3,也就是多出 17,576 種可能性。所以,更長密碼的好處是呈指數級增長的。

雙重驗證

雙重驗證(2FA)是 你可以使用的最佳方法之一,用來保護你的帳戶,而且在今天已是必需。透過要求使用次要裝置登入,例如手機或金鑰,即使有人破解了密碼,沒有這些硬件也無法登入。此外,如果是在手機上進行即時驗證,你亦會知道有人正嘗試存取你的帳戶,並可以採取預防措施(例如更改密碼或全面登出)來處理問題。

不過,要充分發揮 2FA 的作用,處理一個關鍵漏洞非常重要:IMAP、SMTP 和 POP3 協議。簡單來說,這些協議讓你可以連接到電郵伺服器,尤其是透過第三方系統——例如 Outlook。不過,這是有代價的。

當你允許更多裝置連接時,就等於製造了更多弱點,無論是未經授權的存取,還是把電郵下載到不安全的裝置。POP3 尤其有問題,因為它不會加密傳輸中的資料。這表示電郵,包括其內容和憑證,都很容易被惡意人士截取。它亦傾向在傳輸時從伺服器刪除電郵,這可能導致資料遺失。

在最高層級關閉所有這些協議,是保護公司電郵帳戶的好方法。如果你確實需要使用其中一種,請考慮 透過 SSL/TLS 使用 IMAP(亦稱為 IMAPS)

透過停用不安全的協議、啟用 2FA,以及選擇安全的密碼,你已經在基礎層面上盡一切所能保障帳戶安全。

更進階的功能

當然,還有一些稍為技術性的做法。你可能需要選擇 高級商業電郵服務供應商,以確保你能獲得所有這些功能。

以強大的反垃圾郵件過濾功能減輕你的憂慮

說到垃圾郵件,尤其是網絡釣魚,我們往往是自己最大的敵人。沒有我們參與,它不過是另一封被發送到網絡空間中的假電郵。只有當人類介入,後果才會出現。

有很多方法和策略可以阻止電郵垃圾郵件 塞爆你的收件箱,但一個簡單方法就是確保你有合適的垃圾郵件過濾功能。它可以透過無數不同方式識別垃圾郵件,甚至根據你收到的垃圾郵件類型持續學習。從比對顯示名稱是否與寄件者的網域/地址一致,到發現我們未必會留意到的其他異常情況(例如發送憑證),它們會從多個層面保護我們。

最佳類型的垃圾郵件過濾器 亦會根據感知到的威脅程度提供不同級別的過濾,讓你對最惡劣的威脅有更大保障。同樣地,它們亦讓你有機會把被錯誤分類的訊息重新放回收件箱,而且之後不會再被錯誤標記為垃圾郵件。當你 為小型企業選擇電郵服務供應商 時,這是最重要的考慮因素之一。

使用受密碼保護的電郵

更進階的電郵服務供應商其實會提供加密電郵,要求收件人使用密碼才能開啟。這可確保即使電郵被截取或被未經授權人士存取,他們在沒有正確密碼的情況下也無法查看訊息。對於傳送敏感或機密內容,這是一項非常好的功能。

通常,受密碼保護的電郵只會存在於你的郵件伺服器上。系統不會把電郵內容直接傳送給收件人,而是發送一個連結,帶他們前往訊息儲存在你伺服器上的位置,然後他們可以輸入密碼來開啟電郵。

不如了解一下 如何在 Spacemail 中加密你的電郵?當你需要額外私隱保障時,這會幫助你保護通訊內容。

監察你的電郵帳戶活動

有些功能對較大型企業特別理想,但對個體經營者也同樣實用,例如那些對自己業務投入程度很高的人。其中一項功能,就是能夠監察你帳戶的活動。

透過追蹤你的電郵帳戶究竟在哪裡登入,以及最後一次被存取的時間,你只需點擊幾下,就能清楚判斷自己是否曾遭遇安全漏洞。

定期檢查不熟悉的時間、地點或 IP 地址,是一種良好做法,亦讓你能以日常而輕鬆的方式留意任何可疑行為。並非每個電郵服務供應商都提供活動記錄,所以應優先選擇有提供的服務——尤其是那些容許你為不明登入進行遠端登出的服務。

你可能會認為,如果完全遵循前面的所有建議,這種情況就不會發生,但知道在最壞情況下仍有這項功能可用,總是令人安心。

安心知道你受到保護

值得把這一切視為一連串快速而簡單的步驟,而不是一堆障礙,讓你在保障電郵安全方面更安心。以上每一步都不難做到。

透過採用簡單做法,例如提高對網絡釣魚的警覺、使用高強度密碼、啟用雙重驗證,以及善用進階功能(例如加密電郵),你可以保護你的電郵,並防止代價高昂的安全漏洞。

請記住,保障電郵安全不只是為了保護敏感資訊——更是為了保護你的業務、你的聲譽,以及你的安心。 你需要合適的服務供應商,才能確保在這個愈來愈數碼化的世界中,你的電郵仍然是值得信賴且安全的溝通工具。

常見問題

電郵安全非常重要,因為電郵是網絡罪犯常見的入侵入口。網絡釣魚、惡意軟件及資料外洩,只是電郵未有妥善保護時可能出現的部分風險。薄弱的電郵安全可能導致身分盜用、財務損失,以及敏感資訊外洩,令個人和企業都面臨風險。

首先要確保你的員工了解電郵威脅通常是甚麼樣子。你亦可以要求使用高強度密碼、在所有商業帳戶上啟用 2-factor authentication、阻止員工使用不安全的 Wi-Fi,等等。

雙重驗證(2FA)透過要求使用次要裝置來驗證登入,從而提升電郵安全。即使有人成功破解你的密碼,沒有該次要裝置,他們仍無法存取你的帳戶。

簡單來說,你想多久更新一次都可以——但最好每 3-6 個月更新一次,而在發生任何形式的安全事故後更一定要立即更新。

加密對電郵安全至關重要,能保護電郵內容免遭未經授權的存取。它可透過在傳輸期間保障敏感資訊安全來確保機密性,透過防止內容被篡改來維持完整性,並提供驗證以確認寄件者身分。對企業而言,加密亦有助遵守 GDPR 和 CCPA 等私隱法規。

是的,主要因為它們能預先攔截傳入的垃圾郵件,從而減少我們接觸這些郵件的機會。人為因素,尤其是在網絡釣魚詐騙中,是最危險的部分,因此當某些內容被清楚標示為垃圾郵件時,我們就不會與其互動。


推薦文章

分享您的想法

需要超過 10 個字符。
您的公開顯示身份。
提供您的電子郵件地址是可選的。它不會與第三方共享。

幫助我們改進博客

在快速的兩分鐘調查中分享您的想法。

必須提供有效的電郵地址