專家教戰反詐 企業落實「零信任」

奈米醫材（6612）子公司現金股利4,600萬遭詐騙，引發市場關注。資安專家表示，該案件應該是駭客透過商業電子郵件（BEC）入侵，這類案件近年層出不窮，不少公司或者供應商因此被詐騙，也讓企業落實「零信任」成必備。

資安專家指出，除了個人對於帳密保管要非常謹慎以外，公司設置「零信任」的關卡，任何員工登入，除了原本帳號密碼，都要通過第二關認證，最常見的是手機認證，雙重認證確保是本人登入。

勤業眾信資深執行副總經理林彥良提醒，BEC詐騙的核心問題往往不在於系統漏洞，而是企業內部流程控管不足。例如採購與付款部門分屬不同單位，若僅依照供應商名稱或表面資訊操作，未進一步確認細節，就可能落入陷阱。企業應強化內控流程，尤其在「重大資訊變更」與「帳號更動」時，必須建立「人為雙重確認」機制。

林彥良強調，這並非單靠科技即可杜絕，最有效防範之道仍是強化人為驗證，建立跨部門內部稽核機制。唯有結合技術防護與流程把關，才能有效降低風險，避免企業辛苦資金一夕蒸發。

資安專家分析，除了釣魚網站及廣告信件等詐騙Mail外，近年企業經常遇到的詐騙是偽冒的Mail，透過員工帳密駭入員工的公司Mail，並藉此與上下游公司騙取大筆金額，其中又以財務部門員工最容易被鎖定。

資安專家分享，通常駭客駭入財務相關部門的員工Mail，透過往來信件很容易可以摸清楚公司財務往來的上下游供應商，甚至是母、子公司之間的資金往來，駭客以平日與上下游互動員工的Mail，通知廠商匯貨款等資金往來，藉機上下其手。

資誠智能風險管理諮詢公司董事長張晉瑞提醒，企業在進行匯款時應注意三大重點，第一，建立約定帳號機制，所有匯款對象，無論是股利或貨款，都應事先向銀行申請約定帳號，經過查核確定屬於正規公司帳戶後才能啟用，才不會因為臨時通知就隨意將資金轉出。

第二，嚴格驗證異動資訊，若接獲通知表示收款帳號變更，絕不能僅憑對方的電子郵件或LINE訊息確認。必須透過其他管道回撥電話，確認真偽；第三，小額測試降低風險，當確實需要變更匯款帳號時，可先進行小額測試匯款，確認對方確實收到。