今年6月,美國FBI網路犯罪申訴中心IC3公布2016年度網路犯罪報告,其中商業電子郵件詐騙(BEC)類型造成企業3.6億美元損失,占該年網路犯罪金額的27.1%,而它的申訴案件只占該年網路犯罪案的4%。比起勒索軟體攻擊,BEC詐騙對於駭客的投資報酬率相當驚人,預料未來還會繼續成長。(資料來源:美國FBI犯罪申訴中心IC3,iThome整理,2017年9月)

「交易款項前幾天已經匯出,今天客戶打來卻說沒有收到匯款!」一間國際貿易的中小企業,平時都是以電子郵件聯繫與國外合作客戶做生意,多年來已經配合多次,是個重要的國外合作伙伴。前陣子,在新的一筆交易快要確認前,收到對方變更匯款帳戶的通知,並有附上公司戳記的收據檔案,因此照慣例先匯款部分款項。

沒想到,這卻是惡夢的開始,今天客戶突然打來說沒有收到匯款,想詢問他們何時能出貨。因為對方遲遲等不到臺灣公司匯款至指定的帳戶,也誤以為對方還在商討或調整訂單的決策過程中。

「一開始,我們甚至以為是對方想要賴帳,經雙方不斷對質與確認後,才發現我們收到的郵件有遭竄改的跡象,讓我們回覆的郵件是傳送到另一個電子信箱,而且,這個電子信箱偽裝的與該客戶的電子信箱很像,讓公司帶來折合臺幣近百萬元的損失。」

這只是企業遭受郵件詐騙的冰山一角,這幾年以來,包括警政署、資安公司也曾公布不少案例是,與臺灣公司合作的國外企業客戶,誤信詐騙郵件,將款項匯入非臺灣公司帳戶的情況。而這樣所引起的跨國交易糾紛,對於臺灣企業而言,也可能造成商譽或雙方之後合作出問題。

當心!冒稱他人電子郵件通知企業匯款的威脅

使用電子郵件溝通,早已是企業溝通的主要聯絡方式,舉凡交易訂單、收據及匯款帳號等,都可能是透過電子郵件傳遞,尤其是與長期合作公司的跨國交易,由於時差、語言等因素,以電子郵件為主要溝通途徑,更是習以為常的一件事。

然此作業慣例,卻也衍生出以電子郵件為攻擊途徑的商業電子郵件詐騙(Business E-mail Compromise,BEC)攻擊手法。

面對層出不窮的商業電郵詐騙手法,企業首先要認知一件事,那就是電子郵件也有被冒用或竄改的可能性。就跟我們時下常聽聞,即時通訊Line或Facebook帳號被盜,冒用裝熟借錢的事件有些類似,但商業詐騙更具針對性。

你是否想過,收到的電子郵件可能不是寄件者本人發送的,而是因為帳號被他人盜用,或是偽冒成當事人與你往來而不自知。如果你一點概念都沒有,可要當心成為下個被害者。

尤其是時常進行跨國轉帳交易的企業,駭客冒用企業內部的高層主管或合作公司業務窗口,相關負責人與財務與經辦人員更要特別當心,因為對交易、金流有決定權與執行權的你們,更容易將成為駭客鎖定目標。不論企業規模大小,都有遇害的可能性。

什麼是商務電子郵件詐騙?

事實上,這類跨國商業電郵詐騙案,並不是今年才有的網路犯罪手法,早在五六年前,就傳出不少企業遇害。

之所以令我們再次關注此議題,是因為這一年多來,在郵件安全議題上,我們又時常聽到資安廠商與郵件安全廠商,提及BEC詐騙帶來的威脅,甚至就連美國聯邦調查局(FBI),也不斷發出警告與製作相關專題,提醒企業當心。而他們這麼積極宣導,是因為BEC防範確實有其難度,尤其是資安意識較薄弱的中小企業。

什麼是BEC?根據美國FBI旗下網路犯罪申訴中心(IC3)的2014年網路犯罪報告,他們形容BEC是一場複雜的網路詐騙行為,目標是經常執行電匯付款的外國供應商或企業合作伙伴。主要透過社交工程手法與入侵商業電子郵件帳戶等方式,進行未經授權的轉帳。

而我們對這種行為簡稱為BEC詐騙,最近如果你關注資安廠商趨勢科技發布的消息,你也會看到他們特別將此攻擊手法稱為變臉詐騙,點出這類攻擊手法就是冒用對方身分,也就是所謂的中間人電子郵件詐騙。

或許你會說這跟多數網路釣魚詐騙有何不同?事實上,BEC詐騙並非大規模寄送電子郵件,這類手法同樣以電子郵件為攻擊途徑,但聚焦在跨國交易的來往過程,在入侵、潛伏觀察後,伺機而動,且冒用對象是以郵件溝通的企業合作伙伴,或是企業高層主管如CIO、CEO與CFO為主,並發送郵件給相關負責人與財務經辦人員。企業一旦遇害,損失金額為幾十萬至上千萬元不等。

的確,它就是一種針對性攻擊,也可能運用現行各種資安威脅滲透至受害者電腦的手法,但接下來的方式,就是以冒用身份為主。

美國FBI網路犯罪申訴中心IC3調查顯示,去年商業電子郵件詐騙(BEC)造成的企業損失金額高達3.6億美元(約108億元),占全年度網路犯罪金額的27.1%,遙遙領先其他犯罪手法。

全球3年來BEC詐騙逾4萬件,帶來的潛在損失高達53億美元

企業老闆不可不知,BEC所帶來的企業損失,近年已經居於網路犯罪類型之冠,是讓企業損失最慘重的手法。

在今年6月,美國FBI網路犯罪申訴中心IC3,公布2016年網路犯罪報告,去年的商業電子郵件詐騙投訴案件,共有12,005件,大約占全年度網路犯罪案件的4%,不過,造成的企業實際受害損失金額卻高達3.6億美元(約108億元),占全年度網路犯罪金額的27.1%,遙遙領先其他犯罪手法。

時間再往前推,若是相較於2015全年度的7,838件與2.63億美元,很明顯,遭受BEC詐騙的受害企業又有大幅增加,也難怪這類非新興攻擊手法,又成為各界關注焦點。總計,自2013年10月至2016年12月為止,商業電子郵件詐騙案件已經逾4萬起,若是以曝險損失金額來看,更是高達53億美元(約713億元),相當駭人。

臺灣企業的受害情形又是如何?是本土企業關心的議題,我們從內政部警政署刑事警察局提供的統計資料顯示,2016年受理的商業電子郵件詐騙案件有61件,今年也已經有39件(至8月底止)。而從詐騙金額來看,根據刑事警察局165反詐騙專線資料庫統計,光是今年已報案業者的統計,也已經帶給臺灣企業超過1億元的損失。

而且,在這些官方統計數據之外,企業也要瞭解到,實際受害損失將遠超於此,可能因為被詐騙的企業羞於公開,或者不期待能將損失的金錢追回,以致於報案率偏低。有些資安公司透露部分受害企業,是直接請他們協助調查公司郵件被入侵的情形,並沒有報案,甚至聽說,有單一臺灣企業損失金額就高達兩億元的情形。

假冒手法最多的類型:冒充CEO與海外供應商要求付款

從網路犯罪角度來看,這類商業電子郵件詐騙手法,號稱是最高效的詐騙手法,因為駭客技術不一定要高,不法獲利卻能最高,比起勒索軟體威脅更大。

只要企業不小心疏忽,一次就被騙走幾百、幾千萬元,是全球企業都需高度重視的資安威脅風險,臺灣也不例外。

在孫子兵法中,所謂「知己知彼,百戰不殆。」雖然網路犯罪分子用的並非什麼新興技術,不過企業也該關注,近年這些電郵詐騙案使用的手法,又有哪些變化。

根據我國刑事警察局預防科165資料庫的統計,指出2015年的主要詐欺手法,是網路犯罪分子透過竄改電郵帳號,或是侵入電郵信箱方式,向被害公司通知變更收款帳號,致使被害公司誤信並匯款。

2016年,上述詐騙手法依舊存在,另外還有假冒企業執行長名義,向公司會計稱將進行資產併購案,過程必須保密,並要求其配合操作相關鉅額匯款。而且,這些收款地區多位在歐洲,以英國與波蘭的占比最高。

趨勢科技中小企業事業部協理黃家寶也表示,根據他們統計,假冒CEO是近年國外最普遍的方式,至於國內企業遭遇的手法,則多是駭客假冒海外供應商要求企業付款。

BEC詐騙是有計畫的針對性攻擊,往往也同時混合冒用、入侵等手法

更進一步觀察,黃家寶也指出,目前他們看到的BEC詐騙信幾乎都是以英文信溝通為主,還沒有看到本土化的中文詐騙信。

因此攻擊的影響對象,就是與國外供應商或業務有所往來的企業,尤其是傳統類型產業,包括製造、食品、零售、運輸業等,由於資安警覺性較低,受害可能性高。而時差、語言也是一大因素,因為這些企業可能相當仰賴電子郵件方式溝通。

在BEC詐騙的攻擊流程上,主要為駭客竄改企業間往來的郵件內容,誤導企業轉帳至詐騙帳號,但整個過程也都是有其計畫性,主要可以分成4個階段:鎖定目標、社交工程攻擊、潛伏監控與執行詐騙。

舉例來說,首先會從網路上或展覽中蒐集公司CEO與業務的公司電子郵件,鎖定目標後開始接著想辦法掌握資訊,像是以釣魚信件騙取公司電子郵件帳密,之後就可以登入檢視,或是設定自動密件副本轉寄方式,就能監看電子郵件內容,並試著找出進行轉帳及要求轉帳的對象。

在企業郵件帳密的騙取方式上,像是假冒郵件系統通知信,引導至假的網站,要求重新輸入郵件帳號與密碼,或是引誘下載包含Keylogger鍵盤記錄的病毒或木馬,達到竊取帳號的目的。

當駭客潛伏一陣子並掌握多方資訊後,就會在關鍵時刻出手詐騙,像是在最大筆的交易快完成之前,寄送變更匯款帳號的E-mail,或是高階主管出差或重要會議時,假冒公司CEO發電子郵件給財務主管,稱說急需用錢,要求將錢趕快匯到指定帳戶。

從各資安廠商與刑事警察局提供的資料,在冒用電子郵件的方式上,也有粗糙與精細之別。基本上,電子郵件地址的格式為,「使用者名稱@完整網域名稱」(例:guest@公司名稱.com)。

像是有些案件,駭客要假冒企業,僅使用與CEO相同的使用者名稱,@後面則可能是各式免費信箱的網域名稱。同時郵件內容並強調我是大老闆,要收件者遵照指示。

更進階一點,駭客可以把@後面的網域名稱,改到@前面,或是字母形狀混淆的方式,像是將小寫L改成數字1,或是m改成rn,又或者是多一個、少一個字母等作法,讓使用者覺得相像而沒有第一時間察覺。

甚至,駭客實際申請與企業客戶電子郵件網域名稱相似度極高的電子郵件,像是@eroupe.com改成@erOupe.com。趨勢黃家寶就指出,他們看過這樣的案例,追查網域申請時間,就可以知道企業可能在3個月前就被鎖定。

郵件安全廠商中華數位產品經理高銘鍾也提到,原本正常往來的郵件,經駭客入侵後,當使用者按下回信按鈕時,寄件者已經不是原本的寄件對象,使用者一般不易察覺,再加上前面提到的混淆手法,更是讓使用者防不勝防。

最近,他們又觀察到了一個新的趨勢,就是駭客會在電子郵件中,以沒頭沒尾的一段話,試圖騙取企業員工的任意回應。

BEC詐騙嚴重性浮上檯面,企業、金融機構與資安廠商都要積極面對

面對來勢洶洶的BEC詐騙攻擊,企業該如何面對?儘管電子郵件冒用方式五花八門,冒用手法也令人防不甚防,但要知道的是,這些網路犯罪分子的最終目的,都是要騙取金錢或貨品。

以近期的手法來看,公司業務與財務相關人員只要看到「客戶變更匯款帳戶」、「CEO通知緊急匯款」的郵件內容,一定要以郵件外的聯絡方式確認,像是立即撥打電話聯繫,以增加交易的安全性。

當然,企業設法加強端點安全與電子郵件系統的安全性,也是很重要的一點,不要連最基本的防護都沒有,更不用說像是郵件帳號登入安全、郵件加密與電子郵件驗證等防護功能。

內政部警政署刑事警察局科技研發部股長羅國良指出,在他們過去查辦的案件中,有些傳統企業生意作的很大,使用的卻是Hinet免費贈送的網頁信箱,甚至有多人共用帳號的情形,這已經顯示該企業對於資安沒有太大重視。

駭客只要在展場蒐集名片或是上網查詢,就能先看出一些端倪,推測該企業連基本防護都沒有,接下來可以偽冒Hinet系統通知信騙取郵件帳密,或是以暴力破解方式,因為多人共用帳號的電子郵件信箱,密碼通常也不會太難。

儘管BEC詐騙並不是什麼新興的攻擊手法,不像加密勒索軟體那樣高調,但隨著近年企業受害有越來越嚴重的跡象,也讓問題再浮上檯面。

就像近期我們也看到不少郵件安全廠商,已經關注到這樣的情勢變化,開始在郵件防護產品中加入BEC相關的防護功能,甚至利用人工智慧、交叉分析等技術,在系統偵測到有問題時,可在郵件內文或標提前面加上警示字樣,能幫助使用者察覺郵件異常,提醒使用者要進一步去確認。

綜合來看,企業要知道的是,商業電子郵件詐騙帶來的每筆損失都不小,一次遇害可能就損失幾百萬以上,企業本身應設法積極預防電子郵件詐騙,不論是提升員工資安意識,強化商業流程與內部稽核管控,或加強企業本身電子郵件安全防護,才不至於疏於公司資安保護與交易匯款確認。

 2   


Advertisement

更多 iThome相關內容