全球網路釣魚每年上億件 幣圈業者設置資安部門應對

幣安安全長(Chief Security Officer)Jimmy Su指出,在虛擬資產業最常見到釣魚和社交工程攻擊,攻擊者利用人性的弱點,以話術或情境包裝來博取受害者的信任,最終達成竊取個資或資產的目的,這類攻擊不只對普通民衆,企業也可能是受害者,因此企業內有專責安全部門是必須的。

Jimmy Su認爲,攻擊就是最好的防禦,平臺不僅要從用戶的角度瞭解虛擬資產生態圈,更需要從駭客的角度去理解,藉由進攻、防禦模擬方式以瞭解敵情,以幣安爲例,具體做法是招募世界頂尖的駭客,透過內部與外部兩組人馬協助模擬攻擊,以此測試平臺的弱點與漏洞,持續強化平臺安全性。

面對各種釣魚攻擊,Jimmy Su表示,在資安防護方面具體採取的防範措施包括建立反釣魚代碼,用以區分真實與網路釣魚郵件,以及兩步驟驗證(2FA)機制,要求用戶在存取帳戶或系統前,提供兩種不同形式的驗證,還有發送中毒錢包地址警示、下架釣魚網域等,藉此保護用戶帳戶與個資安全。

另一方面,最好的防禦其實是讓用戶主動保障自己的資產與資訊,因此用戶教育也是關鍵的一環,例如推動線下教育活動、官網上發佈資安教育文章,對內採取嚴格的員工訓練,讓員工對最新手法保持警覺,並測試是否有良好的安全習慣。

幣託集團則指出,幣託每年投入資安預算高達數千萬元,在資安防護方面採取5個層次,一是個資防護,提供嚴格的存取控制和身份認證機制;二是數據保護,用戶數據進行加密儲存和傳輸,採分散式儲存和冷錢包技術保護數位資產;三是安全監控,對異常事件進行監測和預警;四是威脅偵測,定期進行系統及基礎設施風險評估,委託第三方專業機構進行滲透測試;五是資安意識,定期舉辦資訊安危教育訓練,並制定清楚的資安政策。