商业安全最佳实践

在Buburuza，我们了解在线安全的重要性以及采取各种安全措施的必要性。每天，我们都会采取许多预防措施来成功保护您的账户和交易的安全。但是，这也取决于您，我们的客户，谁必须参与创建安全的环境，以保护您的网上银行账户免受未经授权的访问和欺诈活动的侵害。

安全最佳实践

由于每家企业都是独一无二的，运营方式也不同，因此可能需要根据您的环境和风险等级采取额外的安全措施。我们在Buburuza建议您定期进行内部风险评估并评估您的控制措施，以确定在您的风险水平下这些控制措施是否足够。我们还建议您就以下最佳实践清单对员工进行教育和培训，以此作为保护您的网上银行账户的起点。

1. 每天监控账户活动。立即查看电汇、ACH 或其他交易确认信息，举报可疑交易或您的信息是否遭到泄露。
2. 对ACH和电汇交易采用双重控制和批准。
3. 实施适合您企业交易活动水平的交易限额。
4. 切勿共享登录名、密码、动态令牌或任何其他允许安全访问您的网上银行系统的信息。不要将它们留在不安全的区域。
5. 为每个网上银行系统使用不同的登录名和密码。您的密码应该易于记住且难以猜出。我们建议使用包括大写和小写字母、数字和特殊字符的高强度密码的最佳做法。每年定期更改密码几次。
6. 避免使用生日、姓氏和宠物名字等密码。
7. 不要在计算机上存储密码列表，也不要将它们放在计算机附近。
8. 切勿在网吧、酒店、图书馆等处使用公共计算机访问网上银行网站，也不要使用公共无线接入点或不安全的无线网络。
9. 获取并安装商用防病毒、反恶意软件和反间谍软件软件，并考虑安装托管防火墙。自由软件可能无法提供抵御最新安全威胁所需的保护级别。将所有安全软件更新到最新版本。在许多情况下，可以将软件配置为自动更新。
10. 使用所有软件应用程序的最新操作系统补丁和更新使计算机保持最新状态。这包括操作系统、浏览器软件和软件程序，例如Real Player、iTunes和微软Office。大多数程序可以设置为自动更新。
11. 为防止意外安装恶意软件、间谍软件或病毒，当您使用具有管理权限的身份时，请勿在 Web 上导航。为没有管理权限的 Web 浏览设置单独的身份，并且仅在离开 Web 时使用管理权限身份。
12. 注意提示您安装软件的弹出窗口。常见的骗局是警告计算机上安装了病毒并模仿运行病毒扫描的消息。切勿在弹出窗口中单击 “确定”，该弹出窗口显示需要安装软件才能删除病毒。单击 “确定” 实际上会在您的计算机上安装恶意软件、间谍软件和/或病毒。
13. 限制或消除员工在用于网上银行的计算机上进行不必要的上网和电子邮件活动，包括个人活动。考虑使用专用计算机进行网上银行交易，不要将其用于任何其他在线目的（例如：阅读电子邮件、浏览网页、访问社交媒体网站）。
14. 教育员工在访问网上银行网站之前和之后清除互联网浏览器的缓存，以避免在计算机上安装恶意软件。
15. 通过访问官方网站而不是单击电子邮件或网页中包含的链接来更新已安装的软件。例如，如果媒体播放器需要更新，请访问官方媒体播放器网站安装更新。点击虚假的更新安装链接可能会导致恶意软件下载到计算机上。
16. 如果您所在的网站要求提供个人信息或登录信息，请在网页上查看以下内容：
17. 通过验证网址包含 “https://” 而不是 “http://” 来检查网上银行系统会话是否安全。这样可以确保网站安全。
18. 在地址栏或浏览器的底部框架中查找已封闭的锁。如果缺少锁，则页面未加密，您的信息在通过互联网传输时可能会被拦截。
19. 在地址栏中键入您正在浏览的页面的地址，而不是单击链接。可以伪造链接以使其看起来有效，但可能会在您不知情的情况下将您带到欺诈性网站。收藏夹也可能会被泄露和更改，从而将您带到欺诈性网站。
20. 不要使用网上银行的自动登录功能，最佳做法建议避免将密码保存到计算机上。
21. 使用网上银行服务时，切勿让计算机处于无人看管状态，在不使用或离开时务必保护计算机。
22. 切勿通过电子邮件发送个人或敏感信息，也不要在任何外部网站（例如社交媒体网站）上发帖。
23. 不要点击可疑电子邮件中包含的链接或打开附件。
24. 立即举报可疑或欺诈活动，或者您的信息是否遭到泄露。

电子邮件和短信诈骗

电子邮件诈骗，也称为 “网络钓鱼”，通常似乎是由合法来源发送的。该电子邮件要求网上银行用户更新其个人信息，确认其账户状态或尝试新的网上银行功能。电子邮件中的嵌入式链接将他们发送到一个欺诈性网站，该网站通常看起来与实际的网上银行网站相似。除其他敏感数据外，还要求用户输入帐户用户名和密码，以验证其身份为借口。不幸的是，这些信息随后可以用来访问在线真实账户。多年来，诈骗者一直试图使用虚假电子邮件欺骗人们，要求他们点击那些为银行和信用卡公司、eBay和主要零售商，甚至是美国国税局的 “欺骗” 真实网站的网站。最近，名为 “smishing” 的短信诈骗已开始出现。诈骗是指身份窃取者假装来自金融机构，向手机发送欺诈性短信，要求用户拨打号码。那些打电话的人需要输入他们的信用卡号、自动柜员机号码、社会保险号和/或他们的个人识别码（PIN）。

1. 对声称来自金融机构、政府机构或其他来源的要求您提供任何银行信息的电子邮件或短信保持怀疑。
2. 切勿使用帐户或登录信息回复发件人。
3. 强烈建议不要点击此类电子邮件中的链接或打开附件。这样做可能会导致您的系统受到损害。取而代之的是，使用公开的联系信息与发件人联系，以验证电子邮件的真实性。
4. 切勿回复或遵循要求您提供个人信息的电子邮件或短信中的任何指示。
5. 除非您已发起交易，否则切勿通过电话、互联网、电子邮件或短信提供个人信息，包括但不限于社会保险号、账户或信用卡号以及个人识别码（PIN）。
6. 始终通过在地址栏中键入网址来访问网上银行网站，而不是点击电子邮件或其他网站中的链接。
7. 务必查看发件人的电子邮件地址或短信，以确认其来自有效的帐户或来源。如果他们以任何方式显得可疑，请立即通知Buburuza或合法来源公司。
8. 如果您怀疑任何可疑网站不合法，请务必将其留下。

社会工程

与 “网络钓鱼” 和其他电子邮件或短信诈骗一样，社会工程涉及诈骗或欺骗人们违反正常的安全程序，以获取信息、进行欺诈或获得对受害者的计算机系统的访问权限。这些社交工程师试图通过获得授权用户的信心并让他们透露危害网络安全的信息来获取信息。社会工程师依赖于人们天生的乐于助人和弱点。如果遇到紧急问题，他们可能会致电授权员工，需要立即访问网络。

社交工程师将使用策略说服人们运行包含恶意软件的电子邮件附件，并说服人们泄露敏感信息。这些恶意工程师依赖于不了解信息价值且粗心保护信息的人。窃听、肩冲浪和垃圾箱潜水是社会工程学中使用的其他策略。

其他资源

Buburuza和合法公司或金融机构绝不会主动联系以索取您的用户名、密码或其他账户信息。所有网上银行用户都必须意识到此类欺诈行为，这一点很重要。

您可以向您的金融机构和互联网犯罪投诉中心举报可疑的电子邮件、短信或任何其他可疑活动或请求（www.ic3.gov），联邦调查局和国家白领犯罪中心之间的合作伙伴关系。

欲了解更多信息，请访问以下网站： 联邦存款保险公司， 反网络钓鱼工作组，以及 全国消费者联盟。