小心變臉郵件詐騙，手法簡單但成功率高

安全廠商Barracuda上周發佈一項企業郵件安全報告，顯示雖然技術並不高明，但變臉郵件詐騙（Business Email Compromise, BEC）的手法仍持續得逞，以CEO最容易遭冒名，而財務及人資部門則是最主要的受害者，許多人只憑簡單幾句話就把錢匯給了歹徒。

變臉詐騙又稱商業郵件入侵，它是歹徒冒充公司執行長等最高階主管的身份發送郵件要求公司下屬執行某種任務，像是要他們提供公司財務資訊、薪資及其他身份辨識資訊。

Barracuda分析該公司蒐集到的3,000筆變臉詐騙郵件，顯示將近一半（46.9%）歹徒要求企業員工匯款到其持有的銀行戶頭。只有約0.8%要求收信人提供個人身份辨識資訊（personal identifiable information, PII）。12%的攻擊郵件一開始會試圖和受害者寒喧，像是問他們有沒有空幫忙處理緊急任務。但這類郵件中，大部份之後會再要求受害者幫忙轉帳。

而不同於一般網釣詐騙提供惡意連接，誘使用戶下載惡意軟體，在這項報告中將近6成（59.9%）的郵件沒有附上網釣連結，只以純文字提出轉帳要求，這也讓公司安全軟體無以偵測，因為這些信件多半是來自合法郵件、專為受害者客製的內容，沒有惡意連結也不會觸動安全系統掃瞄。

Barracuda隨機分析了50家受害企業，分析郵件冒用的發送者及收信者職務。其中42.9%冒充執行長或創辦人發出詐騙信件比例最高，而最常接到此類郵件的是財務長（16.9%）或財務／人資部門（16.9%），而CxO也佔10.2%。

值得注意的是，職務非上述「敏感」層級的員工也會接到其他職位被冒名發出的郵件而上鈎，因而「其他」類在被冒名及收信者比例分別佔48.1%及54.7%。研究人員表示，這顯示光保護敏感部門的員工，並不足以全面防範變臉攻擊。

為防止變臉詐騙，研究人員建議，像轉帳匯款等重要任務一定要主管當面或電話告知。而由於CEO是最常被冒用的對象，使用者應更提高警覺。此外，除了部署郵件防護方案，也要實施員工訓練，提升公司人員辨識變臉詐騙攻擊的能力。