全球网路钓鱼每年上亿件 币圈业者设置资安部门应对

币安安全长(Chief Security Officer)Jimmy Su指出,在虚拟资产业最常见到钓鱼和社交工程攻击,攻击者利用人性的弱点,以话术或情境包装来博取受害者的信任,最终达成窃取个资或资产的目的,这类攻击不只对普通民众,企业也可能是受害者,因此企业内有专责安全部门是必须的。

Jimmy Su认为,攻击就是最好的防御,平台不仅要从用户的角度了解虚拟资产生态圈,更需要从骇客的角度去理解,借由进攻、防御模拟方式以了解敌情,以币安为例,具体做法是招募世界顶尖的骇客,透过内部与外部两组人马协助模拟攻击,以此测试平台的弱点与漏洞,持续强化平台安全性。

面对各种钓鱼攻击,Jimmy Su表示,在资安防护方面具体采取的防范措施包括建立反钓鱼代码,用以区分真实与网路钓鱼邮件,以及两步骤验证(2FA)机制,要求用户在存取帐户或系统前,提供两种不同形式的验证,还有发送中毒钱包地址警示、下架钓鱼网域等,借此保护用户帐户与个资安全。

另一方面,最好的防御其实是让用户主动保障自己的资产与资讯,因此用户教育也是关键的一环,例如推动线下教育活动、官网上发布资安教育文章,对内采取严格的员工训练,让员工对最新手法保持警觉,并测试是否有良好的安全习惯。

币托集团则指出,币托每年投入资安预算高达数千万元,在资安防护方面采取5个层次,一是个资防护,提供严格的存取控制和身份认证机制;二是数据保护,用户数据进行加密储存和传输,采分散式储存和冷钱包技术保护数位资产;三是安全监控,对异常事件进行监测和预警;四是威胁侦测,定期进行系统及基础设施风险评估,委托第三方专业机构进行渗透测试;五是资安意识,定期举办资讯安危教育训练,并制定清楚的资安政策。