網(wǎng)絡詐騙嚴重危害了企業(yè)的財產(chǎn)信息安全�����,預防詐騙人人有責�。企業(yè)微信安全防護嚴密,但不法分子還是會利用各種漏洞�,如收買企業(yè)員工、騙取員工帳號來作惡��。企業(yè)的信息安全�����,離不開員工和企業(yè)的共同維護���。本期小廣帶大家一起學習企業(yè)賬號安全知識↓
請企業(yè)員工注意:
1��、警惕以下新型詐騙手段��,了解防范措施���;
2��、將企業(yè)微信各項安全設置設為最高等級,加固安全屏障��;
3�、全體員工加強安全意識,切勿因一時疏忽或利益誘導�����,讓不法分子有機可乘��。
以下是最近發(fā)現(xiàn)的新型詐騙手段:
01. 騙取企業(yè)員工帳號
不法分子穿著工作服進到企業(yè)辦公場所���,聲稱是某某企業(yè)做“地推”�����、給某某地圖做標注����,需要借用員工手機操作,迷惑性極強�。其實是為了獲取員工的手機號、驗證碼��,登錄企業(yè)微信���。
或者�����,在高校����、公司���、地鐵等人流密集場所��,不法分子打著“做任務”����、“送禮物”等幌子,讓用戶掃描來路不明的二維碼���,目的是盜取用戶帳號�。用戶掃碼��,會授權對方登錄���?�!叭蝿铡弊鐾?,已經(jīng)被盜號了���。
不法分子盜取員工帳號后,可能會在企業(yè)內進行欺詐�����,也可能會泄露企業(yè)的通訊錄架構��、聊天記錄等機密信息�,后果嚴重。
02. 向員工租買帳號、或通過員工邀請混入企業(yè)通訊錄
部分員工安全意識淡薄���、或貪小便宜���,將企業(yè)微信帳號租售給黑產(chǎn)團伙。黑產(chǎn)團伙用租來的帳號招搖撞騙��,一旦最終落網(wǎng)�,幫助犯罪者也要承擔法律責任。
部分企業(yè)后臺設置允許員工邀請他人加入通訊錄�,但有的員工有可能被不法分子蒙騙或買通,邀請身份不明的外部人員進入企業(yè)���,構成安全隱患����。
03. 通過API接口混入企業(yè)
個別企業(yè)自己開發(fā)了快速完善通訊錄的小程序/網(wǎng)頁�����,并對外開放���,邀請員工填寫信息加入�����。但身份驗證時�,沒有企業(yè)HR系統(tǒng)人員名單相互驗證員工身份,而讓員工輸入姓名����、手機號、工號等就能加入企業(yè)�����。不法分子如果盜取了員工信息���,很容易就能混進企業(yè)��。
04. 不法分子進入企業(yè)后��,進一步騙取管理員權限
不法分子通過偽造聊天記錄等方式,比如�����,假稱自己被董事長�、校長等領導委托辦事,讓“超級管理員”為其開通“管理員”權限,或為其掃碼驗證�,登錄管理后臺。
管理員帳號擁有企業(yè)的很多權限��,開通需謹慎�����。一旦被盜取�,企業(yè)將面臨極大風險。例如��,不法分子可能會憑借管理員身份�����,騷擾�、詐騙企業(yè)內部員工和上下游的供應商、經(jīng)銷商�。
對以上詐騙手段,針對企業(yè)內員工人為因素導致的信息泄露����,建議企業(yè)采取以下防范措施:
一、加強企業(yè)全員的信息安全教育
管理員可以提醒全體員工注意帳號安全:
? 不要把裝有企業(yè)微信的手機交給陌生人操作�。
? 不要把公司外部人員邀請進企業(yè)��。
否則可能面臨企業(yè)內部處罰���,甚至法律制裁。
二���、嚴控加入企業(yè)的設置��、通訊錄相關接口的使用
? 當企業(yè)通訊錄完善后�,建議在管理后臺禁止員工邀請他人加入企業(yè)�,加入企業(yè)須經(jīng)過管理員審核,降低不法分子混入企業(yè)的可能性�。
? 在自建應用、授權第三方應用時��,注意檢查是否合理使用通訊錄接口���。如果是自己開發(fā)了加入通訊錄的小程序/網(wǎng)頁�����,一定要確保加入者是企業(yè)HR系統(tǒng)已經(jīng)登記在冊的員工。
三���、加強員工帳號的風險監(jiān)測
? 定期清理通訊錄��,把已離職的員工和公司外部人員移出通訊錄�。
? 定期查看企業(yè)成員的操作記錄,如果發(fā)現(xiàn)有員工多次使用登錄新設備����、換綁手機/微信號等異常情況,可以與員工本人核實情況�。
四、加強管理員帳號的自查�����,嚴控管理權限
? 新增管理員時���,一定要再三核實本人身份����。
? 管理員登錄時�,建議開啟短信驗證。掃碼后����,管理員還需接收手機驗證碼�����,才能登錄管理后臺��。并且在任何情況下�����,都不要幫別人掃碼或代收驗證碼���,讓其登錄管理后臺,以防不法分子獲得管理權限����。
? 定期查看管理員的操作記錄,對于異常操作記錄人工確認是否出現(xiàn)隱患�。
五、保護企業(yè)內部信息安全
? 為了防止不法分子冒充企業(yè)員工�,對外添加他人微信,實施詐騙�,建議只給有對外溝通需要的部分員工開通互通微信的權限。
? 為了防止不法分子冒充企業(yè)員工���,詐騙合作伙伴��,當企業(yè)上下游完善后��,建議在管理后臺禁止員工創(chuàng)建上下游�����。
? 為了防止混入企業(yè)的不法分子把內部信息截屏泄密�,建議開啟在聊天�����、應用和通訊錄界面的水印�,可以幫助追溯泄密帳號。
企業(yè)的財產(chǎn)����、數(shù)據(jù)安全,離不開企業(yè)內所有成員的努力�。除了上述的一些防范措施,還要提醒全體員工��,加強帳號安全意識和法律意識�,切勿因一己私利而危害公司集體的利益。
