現代人對產品和服務產生疑問時,第一時間不是到官方網站查證,而是上社交媒體發問(例如Twitter或Facebook),因此某些資源充足的公司會有團隊追蹤品牌在Twitter或Facebook上被mention的情況,但對此有興趣的除了公司本身,也包括無處不在的騙徒。
偽冒公司的支援團隊
最典型的例子,當有人向知名的加密貨幣服務Blockchain.com的支援團隊在Twitter發問問題,便會出現一連串的機械人(bot)回覆,並附有網絡魚連結,而這並非個別事件,類似的bot也出現在TrustWallet支援的mention上。
行騙的模式十分清楚,但加密貨幣和電子錢包並非騙徒唯二的目標,網絡犯罪份子也可以嘗試以相同的手法,冒充公司支援團隊。
Twitter詐騙對公司造成的麻煩
雖然因為公司名字被盜用而產生的事件,公司本身並沒有法律責任,但仍然會重擊公司的聲譽,結果可能是客戶流失,因為在客戶和顧客的主觀角度,他們都會認為自己是公司提供協助的受害者,儘管與客觀事實不符。
如何保持客戶安全
以Twitter為例的話,公司應該要核實Twitter帳號,取得「剔號」認證,雖然這無法阻止騙徒的「影分身」,但認證後讓客戶能夠更容易辨別公司身份的真偽是個好開始,儘管要取得認證並非易事。與此同事,資源許可的話開始在社交媒體上持續監察mention公司品牌的情況,坊間有不少免費工具,可能功能未夠全面,但大可嘗試過後才決定是否需要購買附有分析和其他功能的付費服務。這種監察的工具被稱為social listening,讓公司能迅速地回應用戶的問題,而大部份時間是刪除騙徒的詐騙活動。
除了在公司官方的渠導刪附詐騙內容,還需要向Twitter舉報違規,Twitter可能要求詳細證據,但過程通常都簡單直接。另外,也可以參考以下的建議提高公司在社交媒體上的安全:
- 避免創立不必要的帳號作為公司代表與客戶互動,太多帳號會造成混亂,讓攻擊者有機可乘。
- 刪除不再使用的公司帳號,如果放著不管的話,攻擊者可能在某一次「意外地」取得存取,到時便能以公司名義行騙。
- 當使用帳號的員工離職後要更改帳號密碼,前員工有把帳號資料外洩的風險。
任何公司帳號,包括社交媒體帳號都需要有強力的密碼保護,並且讓員工有足夠的網絡安全意識十分重要,否則掉入騙徒的釣魚攻擊,也會令公司的帳號落入網絡犯罪份子手上。
資料來源:Kaspersky Blog