今年6月,美國FBI網路犯罪申訴中心IC3公布2016年度網路犯罪報告,其中商業電子郵件詐騙(BEC)類型造成企業3.6億美元損失,占該年網路犯罪金額的27.1%,而它的申訴案件只占該年網路犯罪案的4%。比起勒索軟體攻擊,BEC詐騙對於駭客的投資報酬率相當驚人,預料未來還會繼續成長。(資料來源:美國FBI犯罪申訴中心IC3,iThome整理,2017年9月)

這是實際發生在企業的郵件詐騙案例。「交易款項前幾天已經匯出,今天客戶打來卻說沒有收到匯款!」一間國際貿易的中小企業,平時都是以電子郵件聯繫與國外合作客戶做生意,多年來已經配合多次,是個重要的國外合作伙伴。前陣子,在新的一筆交易快要確認前,收到對方變更匯款帳戶的通知,並有附上公司戳記的收據檔案,因此照慣例先匯款部分款項。

沒想到,這卻是惡夢的開始,今天客戶突然打來說沒有收到匯款,想詢問他們何時能出貨。因為對方遲遲等不到臺灣公司匯款至指定的帳戶,也誤以為對方還在商討或調整訂單的決策過程中。

「一開始,我們甚至以為是對方想要賴帳,經雙方不斷對質與確認後,才發現我們收到的郵件有遭竄改的跡象,讓我們回覆的郵件是傳送到另一個電子信箱,而且,這個電子信箱偽裝的與該客戶的電子信箱很像,讓公司帶來折合臺幣近百萬元的損失。」

然而,上述這個事故只是企業遭受郵件詐騙的冰山一角。這幾年以來,包括警政署、資安公司也曾公布不少案例是,與臺灣公司合作的國外企業客戶,誤信詐騙郵件,將款項匯入非臺灣公司帳戶的情況。而這樣所引起的跨國交易糾紛,對於臺灣企業而言,也可能造成商譽或雙方之後合作出問題。

當心!有人冒稱或冒用他人電子郵件,通知不知情的合作廠商對其匯款

使用電子郵件,早已是企業溝通的主要聯絡方式,舉凡交易訂單、收據及匯款帳號等,都可能是透過電子郵件傳遞,尤其是與長期合作公司的跨國交易,由於時差、語言等因素,以電子郵件為主要溝通途徑,如今,更是習以為常。

然而,這樣的作業慣例,卻也衍生出商業電子郵件詐騙(Business E-mail Compromise,BEC)攻擊手法,顧名思義,就是以企業員工的電子郵件帳號,作為攻擊途徑的網路詐騙攻擊。

面對層出不窮的商業電郵詐騙手法,企業首先要認知一件事,那就是電子郵件也有被冒用或竄改的可能性。就跟我們時下常聽聞,即時通訊Line或Facebook帳號被盜,遭人冒用裝熟、借錢的事件,其實有些類似,但商業郵件詐騙對於攻擊對象的認定,採取更為針對的作法。

你是否想過,每天我們所收到的電子郵件,可能不是寄件者本人親自發送的,而是因為帳號被他人盜用,或是偽冒成當事人與你往來而不自知。如果你沒有這樣的概念,盲目地相信對方就是你認定的聯絡人,而絲毫不確認身分,可要當心成為下個被害者!

尤其是時常進行跨國轉帳交易的企業,駭客冒用企業內部的高層主管或合作公司業務窗口,相關負責人與財務與經辦人員更要特別當心,因為對交易、金流有決定權與執行權的你們,更容易將成為駭客鎖定目標。不論企業規模大小,都有遇害的可能性。

什麼是商務電子郵件詐騙?

事實上,這類跨國商業電郵詐騙案,並不是今年才有的網路犯罪手法,早在五六年前,就傳出不少企業遇害。

最近,我們之所以再次關注此議題,是因為這一年多來,在郵件安全議題上,我們又時常聽到資安廠商與郵件安全廠商,提及BEC詐騙帶來的威脅,就連美國聯邦調查局(FBI),也不斷發出警告與製作相關專題,提醒企業當心。而他們這麼積極宣導,是因為BEC防範確實有其難度,尤其是資安意識較薄弱的中小企業。

但,什麼是BEC?根據美國FBI旗下網路犯罪申訴中心(IC3)的2014年網路犯罪報告,他們是這麼形容的:「BEC是一場複雜的網路詐騙活動,目標是經常執行電匯付款的外國供應商或企業合作伙伴,主要透過社交工程手法,以及入侵商業電子郵件帳戶等方式,進行未經授權的轉帳。」

對於上述行為,我們簡稱為BEC詐騙,最近如果你關注資安廠商趨勢科技發布的消息,你也會看到他們特別將此攻擊手法稱為變臉詐騙,點出這類攻擊手法就是冒用對方身分,也就是所謂的中間人電子郵件詐騙。

或許你會說,這跟過去我們所熟知的網路釣魚詐騙相比,有何不同?事實上,BEC詐騙並非大規模寄送電子郵件,這類手法同樣以電子郵件為攻擊途徑,但聚焦在跨國交易的來往過程,在入侵、潛伏觀察後,伺機而動,且冒用對象是以郵件溝通的企業合作伙伴,或是企業高層主管如CIO、CEO與CFO為主,並發送郵件給相關負責人與財務經辦人員。企業一旦遇害,損失金額非同小可,可達到幾十萬至上千萬元不等的規模。

的確,它就是一種針對性攻擊,也可能運用現行各種資安威脅滲透至受害者電腦的手法,但接下來的方式,就是以冒用身份為主。

美國FBI網路犯罪申訴中心IC3調查顯示,去年商業電子郵件詐騙(BEC)造成的企業損失金額高達3.6億美元(約108億元),占全年度網路犯罪金額的27.1%,遙遙領先其他犯罪手法。

全球3年來BEC詐騙逾4萬件,帶來的潛在損失高達53億美元

乍看之下,BEC是個新興的威脅,但企業老闆不可不知的事實是:BEC所導致的損失,近年已經居於網路犯罪類型之冠,是財務損失最慘重的攻擊手法。

讓我們一起看看其他相關的統計數據。2017年6月,根據美國FBI網路犯罪申訴中心IC3,公布2016年網路犯罪報告,商業電子郵件詐騙投訴案件共有12,005件,大約占全年度網路犯罪案件的4%,不過,令人訝異的是,企業實際受害損失金額卻高達3.6億美元(約108億元),占全年度網路犯罪金額的27.1%,遙遙領先其他犯罪手法。

時間再往前推,美國在2015全年度的BEC詐騙是7,838件,損失金額為2.63億美元。顯然,遭受BEC詐騙的受害企業大幅增加,也難怪這類非新興攻擊手法,又成為各界關注焦點。若以更長的時間來看,自2013年10月至2016年12月為止,商業電子郵件詐騙案件已經逾4萬起,若是以曝險損失金額來看,更是高達53億美元(約713億元),相當駭人。

臺灣企業的受害情形又是如何?是本土企業關心的議題,我們從內政部警政署刑事警察局提供的統計資料,看到明確的數據。他們在2016年受理的商業電子郵件詐騙案件,是61件,今年也已經有39件(至8月底止)。而從詐騙金額來看,根據刑事警察局165反詐騙專線資料庫統計,光是從今年已報案業者來統計,也已經導致臺灣企業蒙受超過1億元的損失。

不過,這些官方統計數據還是比較保守的估算,我們須面對的殘酷事實在於,實際受害損失將遠超於此,可能因為被詐騙的企業恥於公開,或者不期待能將損失的金錢追回,以致於報案率偏低。有些資安公司透露部分受害企業,是直接請他們協助調查公司郵件被入侵的情形,並沒有報案,甚至還有傳聞指出,有一家臺灣企業損失的金額非常大,高達兩億元。

假冒手法最多的類型:冒充CEO與海外供應商要求付款

從網路犯罪角度來看,商業電子郵件詐騙號稱是效率最佳的謀利手法,因為駭客技術不一定要高,不法獲利規模卻能達到最高的程度,造成的財務損失比起勒索軟體威脅更大。

因此,只要企業對於涉及金錢往來的電子郵件互動稍有不慎,一次上當,就可能被騙走幾百、幾千萬元,是全球企業都需高度重視的資安威脅風險,當然,臺灣也不例外。

然而,再高明的詐騙手法,總是會露出馬腳,有跡可尋,但前提在於我們能否有足夠的知識和經驗,進行判斷。在孫子兵法中,所謂「知己知彼,百戰不殆。」更何況,網路犯罪分子採用的方式,並非難以破解的新興技術,但是,因為攻擊端也在持續發展更容易讓人上鉤的手法,因此,企業也該持續關注相關消息,掌握電郵詐騙案近期使用的手法,密切注意其中的變化。

舉例來說,根據我國刑事警察局預防科165資料庫的統計指出,2015年的主要商業郵件詐欺手法,是網路犯罪分子透過竄改電郵帳號,或是侵入電郵信箱方式,向被害公司通知變更收款帳號,致使被害公司誤信並匯款。

到了2016年,上述詐騙手法依舊存在,而且,還出現其他方式。例如,有假冒企業執行長名義,向公司會計稱將進行資產併購案,要求過程必須保密,並需配合操作相關鉅額匯款。而且,這些收款地區多位在歐洲,以英國與波蘭的占比最高。

對此,趨勢科技中小企業事業部協理黃家寶也表示,根據他們統計,假冒CEO是近年國外最普遍的方式,至於國內企業遭遇的手法,則多是駭客假冒海外供應商要求企業付款。

BEC詐騙是有計畫的針對性攻擊,往往也同時混合冒用、入侵等手法

相較於大海撈針式的網路釣魚攻擊,郵件內容五花八門,商業郵件詐騙信本身並不花俏。黃家寶指出,目前他們看到的BEC詐騙信,幾乎都是以英文信溝通為主,還沒有看到本土化的中文詐騙信。

因此,這類郵件攻擊的對象,顯然就是與國外供應商或業務有所往來的企業,尤其是傳統類型產業,包括製造、食品、零售、運輸業等,由於資安警覺較不足,使得受害可能性增高。而這些企業平時就已經相當仰賴電子郵件方式溝通,位處不同國家,由於通信者存在著時差與語言隔閡,往往也不利於彼此溝通與驗證彼此身分。

接著,我們來看看BEC詐騙的攻擊流程。簡而言之,駭客會竄改企業間往來的郵件內容,然後,冒用身分、設法誤導企業相關業務的負責人,將款項匯至詐騙者的金融帳號,而非合作廠商的帳號,整個過程都是經過一番計畫而施行,主要可以分成4個階段:鎖定目標、社交工程攻擊、潛伏監控與執行詐騙。

舉例來說,首先,攻擊者會從網路或透過展覽活動的形式,趁機蒐集公司CEO與業務的公司電子郵件;鎖定目標人物之後,開始想辦法掌握相關資訊,像是以釣魚信件騙取受害者的公司電子郵件帳密,之後就可以登入檢視,或是設定自動密件副本轉寄方式,隨後就能監看電子郵件內容,並試著找出能夠進行轉帳及要求轉帳的對象。

而在企業郵件帳密的騙取方式上,也有很多種作法。像是假冒郵件系統通知信,引導至假的網站,要求重新輸入郵件帳號與密碼,或是引誘受害者下載包含鍵盤記錄功能的病毒或木馬,達到竊取帳號的目的。

當駭客潛伏一段時間並掌握多方資訊後,等到關鍵時刻來臨之際,就會出手詐騙,像是在最大筆的交易快完成之前,寄送要求變更匯款帳號的電子郵件,或是趁高階主管出差或重要會議時,假冒其身分發電子郵件給財務主管,稱說急需用錢,要求將錢趕快匯到指定帳戶。

而從各資安廠商與刑事警察局提供的資料來看,冒用電子郵件信箱的方式上,也有粗糙與精細之別。在有些案件當中,駭客在假冒企業高層時,是以相同的使用者名稱,但在@後面的網域名稱則不是公司的網域名稱,而是各式免費信箱;同時,在他們發出的郵件內容當中,還會強調自己是大老闆,要收件者遵照相關指示匯款。

更進階一點,駭客匯把@後面的網域名稱,改到@前面,或是使用形狀很相似的字母來混淆,像是將小寫L改成數字1,或是m改成rn,又或者是增減一個字母等作法,讓使用者以為是原本的郵件信箱名稱,而無法在第一時間察覺異狀。

甚至,還有駭客的手法,是透過實際申請網域名稱的方式進行,命名上與受害企業的電子郵件網域名稱相似度極高。像是:原本使用者信箱網域名稱是@eroupe.com,而詐騙者信箱網域名稱是@erOupe.com。黃家寶指出,趨勢科技曾經發現這樣的案例,他們後來追查這組混淆的網域名稱申請時間,得知受害企業可能在3個月前就被鎖定。

另一種手法,則是利用一般人對於「回信」較不設防的心理,而伺機詐騙。我們從郵件安全廠商中華數位產品經理高銘鍾口中,也得知這樣的案例。原本是雙方正常往來的郵件,經駭客入侵後,當使用者按下回信按鈕時,這封信件的寄件者,卻已經不是原本的寄件對象。對於這樣的異狀,使用者並不易察覺,若再加上前面提到的混淆手法,更是讓使用者防不勝防。中華數位還觀察到另一個BEC詐騙內容的新趨勢,那就是駭客會在電子郵件中,以沒頭沒尾的一段話,試圖騙取企業員工的回應。

想要徹底防護BEC詐騙,一般企業、金融機構與資安廠商都要通力合作

面對來勢洶洶的BEC詐騙攻擊,企業該如何面對?儘管電子郵件冒用方式五花八門,冒用手法也令人防不勝防,但萬變不離其宗,這些網路犯罪分子的最終目的,都是要騙取金錢或貨品。

以近期的手法來看,公司業務與財務相關人員只要看到「客戶變更匯款帳戶」、「CEO通知緊急匯款」的郵件內容,請提高警覺,並且務必透過郵件外的聯絡方式,直接與對方確認,像是立即撥打電話聯繫,以增加交易的安全性。

當然,企業設法加強端點安全與電子郵件系統的安全性,也是很重要的一點,至少要有基本的防護,而且,對於郵件帳號登入安全、郵件加密與電子郵件驗證等,過去被認為比較進階、嚴密的選購功能,如今必須徹底實施,才能提高相關的保障。

對於郵件安全,採取被動、消極甚至逃避的態度,許多企業至今仍是如此,也無怪乎有心發動攻擊的人士,仍然持續利用這個管道。內政部警政署刑事警察局科技研發部股長羅國良指出,在他們過去查辦的案件中,有些傳統企業,經營業務規模固然很大,使用的卻是Hinet免費贈送的網頁信箱,甚至有多人共用帳號的情形,這顯示該企業對於資安的重視程度嚴重不足。

而且,要發現這樣不設防的企業,相當簡單!駭客只要在展場蒐集名片,或是上網查詢,就能先看出一些端倪,推測該企業連基本防護都沒有,接下來,他們可以偽冒Hinet系統通知信,向這些公司騙取郵件帳密,或是以暴力破解方式取得這些登入資料——因為一般多人共用帳號的電子郵件信箱,所搭配的密碼通常也不會太複雜,而容易猜到。

綜合來看, BEC詐騙之所以能得逞,並不是運用了過於創新、難以理解的攻擊手法,也不像加密勒索軟體那樣高調、大量擴散,但隨著近年企業受害程度日益嚴重,也讓這樣的問題再度浮上檯面。

正當這類威脅受到各界關注時,也吸引廠商開發出對應的安全防護機制。就像近期已經有不少郵件安全廠商,已經關注這樣的情勢變化,並且開始在本身的郵件防護產品中,加入BEC相關的防護功能,甚至利用人工智慧、交叉分析等技術,在系統偵測到有問題的電子郵件時,在內文或主旨前面加上警示字樣,以此幫助使用者察覺所收到的異常郵件,提醒他們要記得進一步確認。

即便有了充分的安全防護機制,我們還是必須謹慎使用電子郵件,不能因此鬆懈,因為,商業電子郵件詐騙所導致的損失金額都不小,一次遇害可能就損失幾百萬以上,企業本身應設法積極預防電子郵件詐騙,不論是提升員工資安意識,強化商業流程與內部稽核管控,以及持續加強企業使用的電子郵件安全防護技術,才不至於疏於保護與確認交易匯款。

 2   


Advertisement

更多 iThome相關內容