圖片來源: 

攝影/洪政偉

透過電子郵件進行的詐騙行為,早已行之有年,我們比較熟悉的作法是透過網路釣魚(Phishing)的方式,但其實郵件詐騙的手法不僅止於此。

在2016年6月美國聯邦調查局(FBI)揭露的商用郵件入侵事件(Business Email Compromise,BEC,趨勢科技稱為變臉詐騙),就是一種侵入並冒用企業員工郵件帳號進行詐騙的行為,以累積的損失金額而言,竟高達將近31億美元。而且,BEC人數最多的受害者是在美國,但詐騙範圍更是涵蓋全球100個國家,這些款項匯至79個國家的金融機構,而最主要的部份,都是流向位於中國與香港的亞洲銀行。

為何商用郵件入侵事件會導致大量金額的損失?

到底什麼是BEC?這種攻擊的主要對象,是與國外供應商或業務有所往來的商務人士,尤其是那些經常定期進行電匯支付的人員。發動攻擊時,對方會設法透過社交工程的手法或各種滲透進入系統、網路的技術,侵入上述這些人員的電子郵件帳號,並以此產生未經當事人授權的資金匯出行為。

就表面而言,這些被偷偷匯出款項的行為,與基於各種業務需求所採取的一般匯款作業,並沒有差別,詐騙者在進行這些攻擊時,會運用與受害者平時處理這些業務一模一樣的作法,因此,匯出金錢的銀行端也可能無法察覺異狀。

商用郵件入侵攻擊(BEC)目前有幾種手法,首先是透過偽造的郵件、電話或傳真,要求收件者匯款給另一個詐騙用帳戶。

在另一種商用郵件入侵攻擊中,是駭客入侵員工的電子郵件帳號,然後以此帳戶要求另一家合作供應商進行匯款,但這裡所付出的金額會提供給詐騙者所控制的銀行帳戶。

強化郵件使用的安全,強化內部流程與政策控管

對於這樣的郵件詐財行為,趨勢科技新興資安威脅研究團隊資深經理Ryan Flores認為,最初的起因,在於企業對於員工電子郵件帳戶登入的保護較為不足,尤其是當前有許多公司,都開放員工透過網頁郵件服務、行動郵件App來收發信,卻沒有強化相關的身分驗證機制,例如,搭配雙因素認證(Two-factor Authentication,2FA),而使得這些使用者電子郵件帳號遭到入侵的風險大增,之後詐騙者就冒用這些電子郵件帳號,進行各種金錢交易相關的聯絡作業,而使得公司的資金在員工沒察覺的情況下,擅自轉帳到入侵者的銀行帳戶。

整體而言,Ryan Flores認為BEC之所以發生,也突顯了企業對於電子郵件太過於信任,未能進一步確認寄件者,是否就是當事人。

另外,Ryan Flores也提醒企業要注意公司代表性郵件帳戶的管理。許多公司會在對外的網站上,列出負責聯絡的電子郵件帳號,方便客戶提問。

而這種行之有年的作法,也可能造成所謂的「單點錯誤(Single Failure)」,因為一旦這樣賦予過多溝通功能的郵件帳號被入侵,攻擊者可以藉此接受到許多顧客的請求,同時,並且用它來發起更多詐騙行為,但企業可能渾然不知,因此,應避免這種作法,若要採用,也應該運用一些方法,不讓有心人士能夠搜集到這種郵件帳號

除了注意類似客服電子郵件信箱的管理,Ryan Flores也提到公司網站所公布的其他訊息當中,也有一些可能被濫用,而導致員工的網路身分遭假造的機會大增。

例如,如果公司的網站列出了企業本身的組織架構圖、高層主管的姓名、經歷簡介,由於這些資訊的過度暴露,有可能被詐騙者所擷取、吸收,結果,更有利於冒用身分,而成為取信他人的工具,使得更多受害者更不疑有他,降低心防。

整體而言,若要有效防禦商用郵件入侵的行為,Ryan Flores認為,企業必須從多個層面來加強控管與防護力道。最基本的部份,是需要設法提升端點安全與郵件安全,並要導入雙因素身分認證的機制,降低帳號、密碼遭到冒用的風險。

同時,企業也必須投入資安的相關宣導,教育內部人員與顧客,培養資安意識,而在工作流程與政策的實施過程中,需添加更多關於安全性的要求,確保作業程序的可靠度與真實度。

企業若不幸遭遇商用郵件入侵的威脅,除了要設法挽救之外,Ryan Flores特別提醒,應主動提報到電腦網路危機處理中心(CERT),或是當地的執法單位,使他們能夠通知其他企業提高警覺,及早採取因應措施,不讓更多人因無知而受害。


Advertisement

更多 iThome相關內容