報稅旺季到資安風險增！帳密沒外洩也恐被盜　3招安全報稅報你知

五月即將進入報稅季，中小企業通常會透過「網路報稅軟體」或配合的「會計公司」進行報稅時，也讓網路釣魚詐騙、竊取個資的資安風險提升，SOSI 遠端連線控管系統開發商表示，「就算帳密沒外洩，也可能有被竊取的風險。」報稅３大安全守則就是不要盲點連結、不要用瀏覽器記密碼、不要嫌麻煩需開啟密碼雙重認證，避免成為網路犯罪的受害者。

第一安全要點是不要盲點連結，在報稅旺季，網路犯罪份子以假亂真寄出假稅務文件（e.g. 拖欠稅款通知），並以附件夾帶的 PDF 檔作為攻擊媒介，誘使收信人點擊連結下載。根據 Security Week報導指出，過去在南美洲就有犯罪集團在報稅季節仿冒哥倫比亞政府的 Email 後綴網址（Suffix URL）寄送釣魚信件，他們更採用密件副本（BCC）方式送信，規避垃圾郵件的篩選。

後綴網址指的是網址後面，用於識別網站國家、組織性質或地區的英文縮寫，像是 .com、.org、.edu、.gov 等，都是常見的後綴網址，大眾在收到 Email、簡訊時，務必看清「寄件人」及信箱「後綴網址」，千萬別盲點連結，誤入犯罪集團偽裝的「官方網站」留下資料。

第二安全要點是不要用瀏覽器記住密碼，密碼是資料外洩的最後一道門，一但曝光個資就會被盜走，雖然設置複雜密碼有助於降低風險，但只要電腦不慎中了木馬，密碼再複雜也可能沒用，網路犯罪份子即便不知道帳密也能盜走。

近期新型態的竊密程式 Vector Stealer，駭客盜取使用者電腦 RDP（遠端桌面通訊協定），透過遠端桌面連線方式，取得電腦桌面控制權，不但可自由操控電腦，包含瀏覽器密碼、信箱郵件、通訊軟體等，甚至能接管使用者身份，進入公司內部系統竊取資料。必須知道，以瀏覽器紀錄密碼只是方便，但沒有資安防護措施。

第三是不要嫌麻煩，需開啟密碼「雙重認證」防護。開啟兩步驟驗證（2FA）或使用一次性密碼（OTP）是保護密碼最安全的方式之一，即使桌面被遠端挾持或駭客透過瀏覽器自動記錄密碼登入重要平台，只要有啟動雙重認證，打開手機 App 收取 30 秒變動一次的隨機密碼，就能增加駭客在盜取密碼上的複雜度，目企業在選擇報稅軟體或會計系統，也可以留意系統是否有雙重認證的資安防護。