美國FBI所屬的網路犯罪投訴中心(簡稱IC3)日前公布一份美國2016年的網路犯罪報告,當年度投訴的網路犯罪案件將近29.9萬件,但網路犯罪導致損失的金額卻高達13.3億美元(約臺幣400億元)。

圖片來源: 

iThome

美國FBI所屬的網路犯罪投訴中心(Internet Crime Complaint Center,簡稱IC3)日前公布一份美國2016年的網路犯罪報告,當年度投訴的網路犯罪案件將近29.9萬件,比起2015年網路犯罪案件回報數量為28.8萬件,數量相去看似不遠,但2016年因為網路犯罪導致損失的金額高達13.3億美元(約臺幣400億元),比2015年網路犯罪損失金額10.7億美元,成長24.3%。

而根據IC3的統計資訊,2016年最嚴重的網路犯罪手法前三名分別是,變臉詐騙(Business Email Compromise,簡稱BEC)、勒索軟體危害,以及技術支援詐騙(Tech Support Fraud),其中以變臉詐騙案件數量雖然只占全年度的4%,但帶來的損失金額卻最高,占全年度網路犯罪損失將近3成。

變臉詐騙手法持續演進,萬件投訴損失金額超過3億美元

根據IC3所統計回報的網路犯罪資訊,2016年網路犯罪的報案率,其實只有15%的受害者有向執法機關報案,而這些受害者報案後,執法機關也會協助受害者,依序和銀行、信用卡公司等相關單位進一步聯繫,先封鎖並禁止相關帳戶有任何的活動,以避免造成更多的損失。

回頭看2016年最常見的網路犯罪手法,排名第一名的就是變臉詐騙案件,也有一說是商務電子郵件入侵案件。這種必臉詐騙經常發生在一些需要與國外有業務往來的企業,因為需要經常匯款給外部客戶或者是供應商,只要負責匯款人員的電子郵件遭到駭客入侵,就有機會竄改換款帳號,造成企業重大損失。

IC3表示,這種變臉詐騙有些時候會利用入侵電子郵件系統帳號(Email Account Compromise,EAC)的手法,鎖定企業內具有匯款權限的特定當事人,駭客可以透過偽造與常見匯款郵件相似的詐騙郵件,讓具有匯款權限的使用者信以為真。

因為這類的詐騙事件數量逐年增加,FBI甚至從2017年開始,將變臉詐騙的手法獨立出來,並開始後續的追蹤。而根據IC3收到的變臉詐騙投訴案件,2016年高達12,005件,占全年度網路犯罪案件的4%;但是,變臉詐騙帶來的損失金額高達3.6億美元,占全年度網路犯罪金額的27.1%。

因為電匯是許多有外國客戶貿易往來企業常用的匯款手法,所以這樣的變臉詐騙,基本上不會變更原本使用者使用電匯的匯款習慣,避免啟人疑竇。而根據FBI的調查顯示,這種變臉詐騙手法最早可以追溯到2013年並且經過一些亞洲國家完成轉帳,最早期的變臉詐騙郵件,都是駭客透過偽冒執行長或者是財務長郵件,要求相關員工在相信該封郵件是公司高階主管寄送的前提下,匯款到特定的假帳號,導致企業蒙受損失。

而這樣的詐騙手法也持續變形進化,到2014年這些受害者則回報FBI,駭客連私人郵件都攻陷,此時,駭客就會利用私人信箱中的聯絡人清單,發送多個詐騙性的匯款信件,有人因此不察,直接匯款導致損失。

到了2015年,變臉詐騙則開始類似臺灣的電話詐騙內容,會有冒用律師或事務所之類的名號,要求企業進行一些私下匯款的行為。這類的變臉詐騙不一定都要求匯款,再2016年的變臉詐騙手法則演進到,透過合法的企業電子郵件帳號要求使用者的個人身分資料(PII)或者是員工的報稅資料表格(Wage and Tax Statement forms)等。這類變臉詐騙可以透過各種手法、郵件標題欺騙使用者,但有很多情況往往是因為美國企業雇用非法勞工,需要透過地下管道匯兌,才使得這樣的變臉詐騙越來越普遍。

若參考趨勢科技對於變臉詐騙的研究,這類變臉詐騙攻擊已經遍及全球92個國家,每一起變臉詐騙的攻擊平均損失超過14萬美元,前五名企業遭到變臉詐騙攻擊比例最多的國家分別是美國(37.55%)、英國(9.61%)、香港(2.85%)、日本(2.75%)和印度(2.39%)。

勒索軟體與技術支援詐騙,兩者投訴損失金額達一億美元

根據IC3的統計,2016年排名第二嚴重的網路犯罪其實就是讓許多人聞之色變的勒索軟體,投訴的案件數量將近三千起(2,673起),帶來的損失約為240萬美元。進一步分析這些勒索軟體如何作用,可以發現,這些勒索軟體往往都是透過鎖定人或技術流程的弱點才可以成功,像是,將惡意軟體透過網路釣魚郵件或者是以遠端桌面存取(RDP)的方式,感染使用者內部網路,並針對這些受感染電腦內的機敏資料進行加密。

至於排名第三名的技術支援詐騙,主要是利用人性的弱點,在電子郵件的標題以軟體更新等內容,類似資安公司、軟體公司甚至是有線電視業者等,都已可以提供技術支援的方式,吸引使用者讀取郵件,最終的目的就是要讓使用者同意,允許這些冒名提供技術支援的人,可以遠端登入使用者的電腦進而登入使用者的網銀帳號。

這樣的行為往往出現在使用者因為不了解一些網路服務的技術細節,冒名的駭客在聯繫過程中,往往會先透過電話聯繫,了解使用者的需求後,要求對方透過一些步驟允許使用者開放遠端裝置連線,冒名駭客就可以實際操控使用者的電腦。IC3表示,這類的案例在2016年接收到的投訴案件數量超過一萬起,但是損失金額相對其他網路犯罪並不高,約為780萬美金。勒索軟體和技術支援詐騙兩者損失金額加起來,在2016年大約一億美元,相較排名第一名的變臉詐騙帶來3.6億美元的高額損失,兩者相差不可以道里計。

IC3每天平均接收到的投訴案件超過800起,超過60歲以上的年齡層是最主要受到網路詐騙的一群人,2016年有5.5萬人受騙,損失金額高達3.39億美元,平均每個人受騙損失將近6千2百元(約新臺幣19萬元);其次受害最深的年齡層是30~39歲,受害人數為5.47萬人;但損失金額第二高的年齡層則是50~59歲,損失金額為2.98億元,平均每個人損失金額超過6千美元(約新臺幣18.8萬元)。

妨害電腦使用是臺灣網路犯罪中,破案率最低的類別

另外,臺灣內政部警政署也同樣於日前公布電腦網路犯罪概況,2016年臺灣電腦網路犯罪案件數量為1.33萬件,比2015年犯罪案件數量成長5.5%。不過,這幾年臺灣網路犯罪案件數量最多的前三類,依序幾乎都是詐欺、妨害電腦使用以及侵害智慧財產權,差別在於占比些微差異。

若以2016年網路犯罪案件中,占比最高的仍是詐欺(33.9%),其次為妨害電腦使用(16.9%)和侵害智慧財產權(16.9%),其中,妨害電腦使用的案件因為經常涉及第三方國家的網路跳板行為,導致來源追查不易,破案率不到二成外,其餘的電腦網路犯罪的破案率平均為七成二。


Advertisement

更多 iThome相關內容