圖片來源: 

刑事警察局預防科

針對企業的電子郵件詐騙(BEC),身為企業高層主管、採購與財務負責人,可要當心!這是全球跨國貿易企業,都必須關注的郵件資安問題,臺灣也不例外。

關於這樣的網路攻擊,去年已經為臺灣企業帶來嚴重傷害,警方受理BEC詐騙案件共54件,平均每周就有一家企業遇害,而損失金額更是高達1億8736萬元。

本月15日,刑事警察局再次發出警告,因為9月底連續發生兩起事件,再次造成兩家貿易公司損失,金額為數百萬到數十萬元不等。

刑事局預防科表示,位於臺中的某知名肉品貿易公司,日前向巴拉圭供應商採購一批肉品,在9月22日收到對方以郵件通知,要更改匯款帳號,並要求7日內匯款,因此,於28日匯款17萬5千美元(約540萬元)。但是,在10月2日該肉品公司董事長,接獲巴拉圭供應商來電表示,尚未收到貨款。

調查後才發現,與客戶往來的電子郵件信箱出現假冒,原本正確的電子郵件帳號是gr****m@ fi****pcion.com.py,但詐騙集團以使用者名稱相同,而網域名稱不同的電子信箱(gr****m@ fi****pcion-py.com),來混淆企業使用者。由於兩個電子郵件信箱很像,導致可能只看使用者名稱的聯絡人員,一時不察就會中招。

甚至,在過去1年多以來,由犯罪集團使用的偽冒Email,已經與肉品公司郵件往返數次,並模仿供應商口吻與稱呼方式,這也意謂著,犯罪集團監聽企業電子郵件帳戶已久,伺機而動,等到關鍵時刻要收受大筆金額貨款時,才突然要求變更匯款帳號,讓企業損失慘重。

另一家漁貨貿易公司也是如此,他們在9月23日向美國供應商訂購一批冷凍鯖魚,然後在27日收到變更匯款帳號的通知郵件,由於國外匯款需3至5個工作天,等到事後細查才發現是假冒的電子郵件,導致該漁貨公司損失66萬元。

在國際上,我們也不斷看到相關新聞,不論企業規模大小,都不能忽視這樣的網路威脅。像是去年底日本航空JAL對外坦承,網路犯罪者假冒出租波音客機的業者,導致他們被詐騙了3億8400萬日圓(約1億176萬元)。

由於這類BEC詐騙事件不斷讓企業受害,若是企業對於這類郵件詐騙手法還不熟悉,也請記住幾個原則,遇到「變更匯款通知」信件,務必從「第二管道」與對方確認。

無論如何,對於假冒電子郵件信箱的手法,用戶必須多加認識,而這些事件也顯示,企業郵件往來內容早被掌握,才會在關鍵時刻遭詐騙,因此,多方確認仍是降低郵件詐騙風險的關鍵。

認識「商務電子郵件詐騙」

商業電子郵件詐騙(Business E-mail Compromise,BEC),也簡稱BEC詐騙。

受害對象 : 與國外供應商或業務有所往來的企業,特別是製造、食品、零售、運輸等傳統類型產業,若資安警覺性較低,受害可能性高。

攻擊手法 : 根據美國FBI在今年7月發布的BEC詐騙統計報告指出,今年最熱門的BEC手法,包括:(一)入侵企業執行長或財務長的電子郵件帳號以進行詐騙,(二)偽裝成房地產的賣家,(三)入侵高層郵件帳號並索取報稅資料,(四)偽裝成企業供應鏈,(五)或是冒充律師事務所客戶,以變更匯款帳戶等,提醒企業必須小心。


Advertisement

更多 iThome相關內容