FBI：3年來全球商業郵件詐騙案逾4萬，詐騙金額逾50億美元

美國聯邦調查局（FBI）旗下的網路犯罪申訴中心（Internet Crime Complaint Center，IC3）上周指出，從2013年10月到2016年12月於全美及全球131個國家總計紀錄了逾4萬起的商業電子郵件詐騙（Business E-mail Compromise，BEC）案件，曝險損失（Exposed loss）金額高達53億美元。

商業電子郵件詐騙案通常是鎖定擁有必須定期匯款之海外供應商或其他合作夥伴的企業，駭客先入侵企業的供應商，再以假冒的供應商郵件要求企業轉帳，且不論是大型或小型企業皆曾受害。而所謂的曝險損失指的是歹徒企圖詐騙的金額，不論被害人有無實際給付。

根據IC3的統計，從2013年10月到2016年12月間，發生在國內外的商業電子郵件詐騙案件總計超過4萬起，曝險損失高達53億美元。

FBI歸納了商業電子郵件詐騙最常出現的五大場景，一是駭客假冒海外供應商以要求企業付款；二是駭進企業高階主管的電子郵件帳號，並以其名要求企業內部的財務經理人匯款；三是企業窗口的電子郵件帳號被駭，被用來要求其他供應商付款；四是駭客假冒為律師，可能會選在工作日的最後一天發信給受害者，宣稱要處理緊急事件而要求匯款；五則是利用被駭的主管郵件帳號發信給內部的人力資源或審計主管，用以獲得所有員工的個資，這是去年才現身的新興詐騙手法。

儘管企業已對電子郵件詐騙已有所警覺，然而，從2015年1月到2016年12月之間，相關詐騙案的曝險損失金額成長了2370%，透露出駭客仍然樂此不疲。

FBI建議企業避免使用免費的電子郵件服務，在徵人時不要透露太多職務的內容或層級劃分，對於有時間壓力的請求要更加警覺，採用額外的安全措施，不要直接以「回信」（Replay）功能來回覆郵件，最好是透過轉寄或是重新輸入郵件位址，FBI還建議企業註冊所有與企業網域類似的網域名稱，避免遭到他人濫用。