“商務電郵詐騙”的實施手法與防禦方法

電子郵件因其方便、快捷、成本低廉的特點，成為企業之間進行商務溝通的重要手段，商務交易訂單、收據及匯款賬號等都可通過電子郵件進行傳遞，尤其是與長期合作公司的跨國交易，由於時差、語言等因素，以電子郵件為主要溝通途徑，更是習以為常的一件事。電郵在商業領域的廣泛應用也衍生出以電子郵件為攻擊途徑的網路詐騙攻擊手法——“商務電郵詐騙”(Business Email Compromise，BEC)。美國聯邦調查局(FBI)近日釋出公告顯示，2017 上半年商務電郵詐騙已造成全球高達53億美元的經濟損失。

什麼是“商務電郵詐騙”?

“商務電郵詐騙”(BEC)又被稱作“老闆詐騙”(CEO Fraud)或“中間人詐騙”(Man in the Middle)。美國聯邦調查局旗下網路犯罪申訴中心在網路犯罪報告中指出，“商務電郵詐騙” 是一場複雜的網路詐騙行為，目標是經常執行電匯付款的外國供貨商或企業合作伙伴。主要透過社交工程手法與入侵商業電子郵件帳戶等方式，進行未經授權的轉賬。實施“商務電郵詐騙”的攻擊者通過各種手段，其中包括社交媒體、公司網站介紹或黑客攻擊手段，弄到企業老闆的電郵賬號，之後冒充老闆通過電郵指示公司財務部電匯專案款給某公司，而這個公司往往是詐騙團伙的同謀，他們得到付款後，立刻將這筆錢轉移到國外另一銀行賬戶。“商務電郵詐騙”一般分為以下四個實施階段：

階段1：確認目標

黑客從網路上或通過其他途徑，蒐集到各企業大老闆或企業視窗的聯絡資訊，以及各式相關資訊。

階段2：潛伏觀察

黑客透過入侵或“釣魚”手法成功取得企業郵件登入賬號密碼，或透過惡意軟體側錄使得雙方通訊內容一覽無遺，掌握公司財務物件、大老闆行程與交易資訊，等待時機攻擊。

階段3：正式發動攻擊

在國內企業與國外廠商交易快完成前，中斷廠商之間的通訊，向是Reply-to的發件人至竄改的假冒E-mail，並假冒出口商要求變更匯款賬號，或是假冒大老闆名義向公司會計要求匯款。

階段4：取走匯款

待企業上當匯款之後，將款項提領一空，或是再匯至第三個國家地區銀行或第四個國家地區銀行。

事實上，這類跨國商務電郵詐騙案，並不是今年才有的網路犯罪手法，早在五六年前，就傳出不少企業遇害。或許你會說這跟多數網路釣魚詐騙有何不同?事實上，“商務電郵詐騙”並非大規模寄送電子郵件，這類手法同樣以電子郵件為攻擊途徑，但聚焦在跨國交易的來往過程，在入侵、潛伏觀察後，伺機而動，且冒用物件是以郵件溝通的企業合作伙伴，或是企業高層主管如CIO、CEO與CFO為主，併發送郵件給相關負責人與財務經辦人員。企業一旦遇害，損失金額為幾十萬至上千萬元不等。的確，它就是一種針對性攻擊，也可能運用現行各種網路安全威脅滲透至受害者計算機的手法，但接下來的方式，就是以冒用身份為主。

快速識別“商務電郵詐騙”

“商務電郵詐騙”的偽裝性和欺騙性極強，如何快速識別這種網路詐騙手法是預防的關鍵，以下是五類常見的“商務電郵詐騙”方式：

1. 黑客假冒海外供貨商以要求企業付款

網路犯罪分子假冒國外客戶E-mail，要求變更匯款賬號，導致公司匯款至詐騙用賬戶。或者是假冒&&公司名義傳送E-mail給國外客戶，導致國外客戶匯款至詐騙用賬戶。

2. 黑入企業高階主管的電子郵件賬號，並假冒其名義要求企業內部的財務經理人匯款

網路犯罪分子假冒老闆E-mail，像是CEO、CIO、CFO，向公司會計要求需緊急處理某筆電匯。

3. 與客戶聯絡的企業視窗電子郵件賬號被駭，並假冒其名義要求供貨商付款

網路犯罪分子竊取公司企業視窗甚至負責人電子郵件，直接寄送偽造內容的信件，致使對方匯款至詐騙用賬戶。

4. 黑客假冒律師或事務所的代表，宣稱要處理緊急事件而要求匯款，可能選在工作日的最後一天發信給受害者

5. 同樣是駭入高層主管郵件賬號，假冒其名義發信給內部的人事或審計主管，要求彙整提供所有員工資料

攻擊者成功實施“商務電郵詐騙”的關鍵一步是竄改Email賬號，以下是幾類黑客慣常使用的Email賬號偽裝手法：

1. 字形混淆變化

2. 字元加減變化

3. 位置調換與直接假冒

通常情況下，網路犯罪分子都使用名稱非常相似的.假電子郵件賬號，例如將賬號中的英文字母“l”改成數字“1”，英文字母“o”改成數字“0”，甚至是英文字母“m”改成“rn”的方式。還有的手法是在賬號不顯眼處增減1字，或是將域名移到@前方來魚目混珠。使用者不論是在發信、回信時，可以多確認一下發件人的電子信箱是否正常。另外也要提醒，也有黑客是攻入企業使用的電子郵件系統，或盜取使用者賬號，由於對方是使用真正的郵件賬號發信，會更難防範。

有效防範“商務電郵詐騙”

有效的多層式防護對預防“商務電郵詐騙”極為關鍵。電子郵件和網站閘道器、端點裝置、網路以及伺服器，全都需要專屬的防護，而且要環環相扣才能發會效用和效率。大約 97% 的勒索病毒和網路釣魚都能在網站和電子郵件閘道器端攔截。過了閘道器之後，則可透過行為監控、應用程式控管及漏洞防護來保護端點。此外，還可藉由流量掃描、橫向移動防範技術以及惡意軟體沙盒模擬分析來保護網路。同時，在網路防護之上還可以再多加一層網站伺服器防護來保護伺服器。

伺服器是網路犯罪集團的終極目標，不法分子常利用伺服器的組態設定錯誤、軟體漏洞，或是失竊的使用者賬號密碼、中間人攻擊以及橫向移動技巧來入侵伺服器。歹徒一旦進入伺服器，就能讀取、篡改或匯出各種企業資料，包括：業務、財務或客戶資料。

最為關鍵的是要認識到——人是最大的網路安全漏洞。人的一切不符合網路空間安全的行為，都可能成為網路黑客攻擊的突破口。因此，企業除了需要提高自身網路安全外，還應深化員工的網路安全意識。員工在不敢質疑或違背上級命令的情況下，很容易被騙點選惡意的連結、開啟受感染的附件檔案、將大筆款項匯入不法分子的賬戶裡。因此員工教育很重要，但企業往往忽視了這一環節。網路安全教育應該列入新進員工訓練專案之一。此外，也可藉由滲透測試來對員工進行網路釣魚測驗。企業內應該建立起相應的網路安全防護文化，所有員工都應瞭解自己在不法分子實施網路詐騙過程當中自身所扮演的重要角色。

隨著行動網路的快速演進、智慧終端的日益普及、服務模式的迭代創新，網路在給我們帶來生活便利的同時，也帶來了非法入侵、網上竊密、網上欺詐等新的危害，資訊保安風險日益凸顯，網路安全形勢愈加嚴峻。