“商務電郵詐騙”的實施手法與防禦方法

電子郵件因其方便、快捷、成本低廉的特點，成為企業之間進行商務溝通的重要手段，商務交易訂單、收據及匯款賬號等都可通過電子郵件進行傳遞，尤其是與長期合作公司的跨國交易，由於時差、語言等因素，以電子郵件為主要溝通途徑，更是習以為常的一件事。電郵在商業領域的廣泛應用也衍生出以電子郵件為攻擊途徑的網絡詐騙攻擊手法——“商務電郵詐騙”(Business Email Compromise，BEC)。美國聯邦調查局(FBI)近日發佈公告顯示，2017 上半年商務電郵詐騙已造成全球高達53億美元的經濟損失。

什麼是“商務電郵詐騙”?

“商務電郵詐騙”(BEC)又被稱作“老闆詐騙”(CEO Fraud)或“中間人詐騙”(Man in the Middle)。美國聯邦調查局旗下網絡犯罪申訴中心在網絡犯罪報告中指出，“商務電郵詐騙” 是一場複雜的網絡詐騙行為，目標是經常執行電匯付款的外國供貨商或企業合作伙伴。主要透過社交工程手法與入侵商業電子郵件帳户等方式，進行未經授權的轉賬。實施“商務電郵詐騙”的攻擊者通過各種手段，其中包括社交媒體、公司網站介紹或黑客攻擊手段，弄到企業老闆的電郵賬號，之後冒充老闆通過電郵指示公司財務部電匯項目款給某公司，而這個公司往往是詐騙團伙的同謀，他們得到付款後，立刻將這筆錢轉移到國外另一銀行賬户。“商務電郵詐騙”一般分為以下四個實施階段：

階段1：確認目標

黑客從網絡上或通過其他途徑，蒐集到各企業大老闆或企業窗口的聯繫信息，以及各式相關信息。

階段2：潛伏觀察

黑客透過入侵或“釣魚”手法成功取得企業郵件登入賬號密碼，或透過惡意軟件側錄使得雙方通信內容一覽無遺，掌握公司財務對象、大老闆行程與交易信息，等待時機攻擊。

階段3：正式發動攻擊

在國內企業與國外廠商交易快完成前，中斷廠商之間的通訊，向是Reply-to的發件人至竄改的假冒E-mail，並假冒出口商要求變更匯款賬號，或是假冒大老闆名義向公司會計要求匯款。

階段4：取走匯款

待企業上當匯款之後，將款項提領一空，或是再匯至第三個國家地區銀行或第四個國家地區銀行。

事實上，這類跨國商務電郵詐騙案，並不是今年才有的網絡犯罪手法，早在五六年前，就傳出不少企業遇害。或許你會説這跟多數網絡釣魚詐騙有何不同?事實上，“商務電郵詐騙”並非大規模寄送電子郵件，這類手法同樣以電子郵件為攻擊途徑，但聚焦在跨國交易的來往過程，在入侵、潛伏觀察後，伺機而動，且冒用對象是以郵件溝通的企業合作伙伴，或是企業高層主管如CIO、CEO與CFO為主，併發送郵件給相關負責人與財務經辦人員。企業一旦遇害，損失金額為幾十萬至上千萬元不等。的確，它就是一種針對性攻擊，也可能運用現行各種網絡安全威脅滲透至受害者計算機的手法，但接下來的方式，就是以冒用身份為主。

快速識別“商務電郵詐騙”

“商務電郵詐騙”的偽裝性和欺騙性極強，如何快速識別這種網絡詐騙手法是預防的關鍵，以下是五類常見的“商務電郵詐騙”方式：

1. 黑客假冒海外供貨商以要求企業付款

網絡犯罪分子假冒國外客户E-mail，要求變更匯款賬號，導致公司匯款至詐騙用賬户。或者是假冒&&公司名義發送E-mail給國外客户，導致國外客户匯款至詐騙用賬户。

2. 黑入企業高階主管的電子郵件賬號，並假冒其名義要求企業內部的財務經理人匯款

網絡犯罪分子假冒老闆E-mail，像是CEO、CIO、CFO，向公司會計要求需緊急處理某筆電匯。

3. 與客户聯繫的企業窗口電子郵件賬號被駭，並假冒其名義要求供貨商付款

網絡犯罪分子竊取公司企業窗口甚至負責人電子郵件，直接寄送偽造內容的信件，致使對方匯款至詐騙用賬户。

4. 黑客假冒律師或事務所的代表，宣稱要處理緊急事件而要求匯款，可能選在工作日的最後一天發信給受害者

5. 同樣是駭入高層主管郵件賬號，假冒其名義發信給內部的人事或審計主管，要求彙整提供所有員工數據

攻擊者成功實施“商務電郵詐騙”的關鍵一步是竄改Email賬號，以下是幾類黑客慣常使用的Email賬號偽裝手法：

1. 字形混淆變化

2. 字符加減變化

3. 位置調換與直接假冒

通常情況下，網絡犯罪分子都使用名稱非常相似的.假電子郵件賬號，例如將賬號中的英文字母“l”改成數字“1”，英文字母“o”改成數字“0”，甚至是英文字母“m”改成“rn”的方式。還有的手法是在賬號不顯眼處增減1字，或是將域名移到@前方來魚目混珠。使用者不論是在發信、回信時，可以多確認一下發件人的電子信箱是否正常。另外也要提醒，也有黑客是攻入企業使用的電子郵件系統，或盜取用户賬號，由於對方是使用真正的郵件賬號發信，會更難防範。

有效防範“商務電郵詐騙”

有效的多層式防護對預防“商務電郵詐騙”極為關鍵。電子郵件和網站網關、端點裝置、網絡以及服務器，全都需要專屬的防護，而且要環環相扣才能發會效用和效率。大約 97% 的勒索病毒和網絡釣魚都能在網站和電子郵件網關端攔截。過了網關之後，則可透過行為監控、應用程序控管及漏洞防護來保護端點。此外，還可藉由流量掃描、橫向移動防範技術以及惡意軟件沙盒仿真分析來保護網絡。同時，在網絡防護之上還可以再多加一層網站服務器防護來保護服務器。

服務器是網絡犯罪集團的終極目標，不法分子常利用服務器的組態設定錯誤、軟件漏洞，或是失竊的用户賬號密碼、中間人攻擊以及橫向移動技巧來入侵服務器。歹徒一旦進入服務器，就能讀取、篡改或導出各種企業數據，包括：業務、財務或客户資料。

最為關鍵的是要認識到——人是最大的網絡安全漏洞。人的一切不符合網絡空間安全的行為，都可能成為網絡黑客攻擊的突破口。因此，企業除了需要提高自身網絡安全外，還應深化員工的網絡安全意識。員工在不敢質疑或違背上級命令的情況下，很容易被騙點選惡意的連結、開啟受感染的附件檔案、將大筆款項匯入不法分子的賬户裏。因此員工教育很重要，但企業往往忽視了這一環節。網絡安全教育應該列入新進員工訓練項目之一。此外，也可藉由滲透測試來對員工進行網絡釣魚測驗。企業內應該建立起相應的網絡安全防護文化，所有員工都應瞭解自己在不法分子實施網絡詐騙過程當中自身所扮演的重要角色。

隨着移動網絡的快速演進、智能終端的日益普及、服務模式的迭代創新，網絡在給我們帶來生活便利的同時，也帶來了非法入侵、網上竊密、網上欺詐等新的危害，信息安全風險日益凸顯，網絡安全形勢愈加嚴峻。