全球網路釣魚每年上億件 幣圈業者設置資安部門應對

金管會日前提出希望10家專責電支機構都設立專責的資安單位，同時也在VASP指導原則中，明列資安及冷熱錢包之管理機制的自律原則，有虛擬資產業者認為，目前業界最常見的資安問題是釣魚和社交工程和APT組織的攻擊，必須設置資訊安全部門以保障用戶資產安全；提供全球網路安全服務的跨國科技企業Cloudflare就曾在報告中指出，2022年5月到去年5月的一年間，共處理了130億封電子郵件，其中包括阻止2.5億封惡意郵件進入客戶的收件匣。

幣安安全長（Chief Security Officer）Jimmy Su指出，在虛擬資產業最常見到釣魚和社交工程攻擊，攻擊者利用人性的弱點，以話術或情境包裝來博取受害者的信任，最終達成竊取個資或資產的目的，這類攻擊不只對普通民眾，企業也可能是受害者，因此企業內有專責安全部門是必須的。

Jimmy Su認為，攻擊就是最好的防禦，平台不僅要從用戶的角度了解虛擬資產生態圈，更需要從駭客的角度去理解，藉由進攻、防禦模擬方式以了解敵情，以幣安為例，具體做法是招募世界頂尖的駭客，透過內部與外部兩組人馬協助模擬攻擊，以此測試平台的弱點與漏洞，持續強化平台安全性。

面對各種釣魚攻擊，Jimmy Su表示，在資安防護方面具體採取的防範措施包括建立反釣魚代碼，用以區分真實與網路釣魚郵件，以及兩步驟驗證（2FA）機制，要求用戶在存取帳戶或系統前，提供兩種不同形式的驗證，還有發送中毒錢包地址警示、下架釣魚網域等，藉此保護用戶帳戶與個資安全。

另一方面，最好的防禦其實是讓用戶主動保障自己的資產與資訊，因此用戶教育也是關鍵的一環，例如推動線下教育活動、官網上發布資安教育文章，對內採取嚴格的員工訓練，讓員工對最新手法保持警覺，並測試是否有良好的安全習慣。

幣託集團則指出，幣託每年投入資安預算高達數千萬元，在資安防護方面採取5個層次，一是個資防護，提供嚴格的存取控制和身份認證機制；二是數據保護，用戶數據進行加密儲存和傳輸，採分散式儲存和冷錢包技術保護數位資產；三是安全監控，對異常事件進行監測和預警；四是威脅偵測，定期進行系統及基礎設施風險評估，委託第三方專業機構進行滲透測試；五是資安意識，定期舉辦資訊安危教育訓練，並制定清楚的資安政策。

更多中時新聞網報導
5家股利最新！賺5毛給1塊 這家營建股「配息1.5＋配股5」老總親曝原因
小米電動車賣爆 各晶片廠擠破頭搶生意！這家奪大肥單
勞保改革「賴清德非做不可」達人曝3大年改方向：這招最慘、退休金恐掉3成