變臉詐騙/執行長 CEO詐騙/BEC- Business Email Compromise企業郵件受駭詐騙 - 資安趨勢部落格

《電子郵件詐騙》用 AI 人工智慧及機器學習防堵 BEC 變臉詐騙

2018 年 05 月 17 日2018 年 09 月 08 日趨勢科技 TrendMicro

變臉詐騙攻擊或稱為商務電子郵件入侵( BEC)變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)，是對於全球企業的危險威脅。目前 BEC 已在全球一百多個國家出現，2013 年至 2016 年期間，美國聯邦調查局 (FBI) 共接獲超過 40,000 起事件，報告指出全球損失達 53 億美元。然而 BEC 攻擊在 2017 年繼續擴散，從上半年到下半年增加了 106%；但網路罪犯不只依靠其盛行程度來獲得豐厚的報酬。網路罪犯變得更加狡猾，BEC 詐騙不再需要完全依賴可偵測得到的惡意元件。儘管惡意軟體仍然是發起攻擊的一種選擇，但網路罪犯正在增加網路釣魚及社交工程攻擊，鎖定企業內可能容易受到陰險手段攻擊的個人。

讓 BEC變臉詐騙難以偵測的特徵

由於 BEC 的發展與詭計多端，面對攻擊，一般的最佳做法及資安解決方案已經顯得薄弱。由於傳統防毒軟體偵測不到，社交工程式的 BEC 詐騙攻擊進行很快，相較於需要放置鍵盤記錄程式、遠端存取工具的攻擊計畫，所需的事前勘查相對較少。網路罪犯使用以下欺詐策略：

在 BEC 攻擊計畫中使用緊迫性、行動要求或財務影響等，讓目標落入陷阱。例如，網路罪犯聯絡企業的員工及/或高階主管，並且扮演第三方供應商、律師事務所的代表，甚至執行長 (CEO) 的角色，操縱目標員工/高階主管祕密處理資金轉移。
偽造的電子郵件看似正當。網路罪犯會利用員工希望儘快處理遭冒充高階主管交辦事項的心理。過去幾年來，最容易成為目標的職位是財務長 (CFO)，財務主管、財務經理、財務總監，而最常遭到冒充的高階主管為執行長、董事總經理、總裁。
使用者的帳戶或電子郵件信箱遭到入侵時，攻擊者可以使用遭到入侵的帳戶發送內部網路釣魚郵件或 BEC 郵件。由於電子郵件來自正當使用者的電子郵件信箱，因此郵件標頭或寄件人地址不會有任何可疑內容。

繼續閱讀

如何利用 AI 人工智慧揪出電郵詐騙犯?

2018 年 04 月 27 日2018 年 04 月 27 日趨勢科技 TrendMicro

駭客逐漸將企業員工視為資訊安全鏈中的薄弱環節。這就是為什麼現今大多數的威脅都是藉由電子郵件傳播，目的是誘使收件人下載惡意軟體、洩露登入資料，或線上轉帳給攻擊者。趨勢科技預測，光是變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)攻擊造成的累計損失，將在今年達到 90 億美元。

攻擊模式變得更加聰明，趨勢科技推出兩款創新產品，幫助打擊電子郵件詐騙犯。一種是使用人工智慧的全新功能，目標是提高 BEC 變臉詐騙偵測能力；另一種功能則可幫助 IT 團隊培訓其員工，察覺網路釣魚攻擊。這是更進一步與罪犯對抗。

電子郵件威脅: 趨勢科技Smart Protection Suites在 2017 年阻止了超過 660 億個威脅

電子郵件無疑是目前針對組織的攻擊者使用的主要威脅載體。Trend Micro™ 趨勢科技 Smart Protection Suites在 2017 年阻止了超過 660 億個威脅，其中超過 85% 是包含惡意內容的電子郵件。

BEC 變臉詐騙是一種越來越受歡迎的攻擊手段，因為報酬可能十分豐厚。很多組織難以察覺此種攻擊，因為通常沒有任何惡意軟體；他們主要依賴對精心挑選的收件人進行社交工程。收件人通常在財務部門工作，會收到一封冒充執行長、財務長或其他高階主管的電子郵件，要求他們緊急進行線上轉帳或回覆敏感資料。平均每次事故損失高達 130,000 美元；從 2017 年上半年到下半年，趨勢科技的客戶受到的 BEC 攻擊增加了 106%，這一點也不奇怪。

這並不是要低估網路釣魚對全球各地組織的影響。藉由針對員工下手，攻擊者可以傳播惡意軟體，並秘密滲透網路來竊取敏感資料及智慧財產。去年 Black Hat 與會者調查的結果說明了這個趨勢對組織的影響。

	IT 主管將釣魚攻擊視為他們的頭號資安問題與會者認為，網路釣魚是最耗時的威脅受訪者認為 IT 安全最薄弱的環節，是終端使用者遭到釣魚攻擊欺騙 19% 的公司將網路釣魚評定為過去一年中出現的最嚴重資安威脅，僅次於勒索軟體

寫作風格 DNA 包含使用人工智慧的全新技術

這種攻擊對於財務及名譽可能造成的損害可以想見。面對威脅層級日漸提高，趨勢科技還有兩項新的免費工具。繼續閱讀

趨勢科技如何攔截 340 萬個高風險威脅，提升 Office 365 安全?

2018 年 03 月 31 日2018 年 03 月 30 日趨勢科技 TrendMicro

這份報告深入探討了 2017 年的電子郵件威脅與資安情勢，希望讓企業對其面臨的威脅有更清楚的認識，並且知道該如何加以防範。

電子郵件是今日的頭號威脅來源。2017 年，94% 的勒索病毒都是經由電子郵件散布。此外，包括執行長詐騙在內的變臉詐騙 (BEC) 數量從 2017 年上半年至下半年大幅成長 106%。在此同時，企業正一窩蜂地將電子郵件系統移轉至雲端。目前 Microsoft Office 365 上已有 1.2 億的企業使用者。而 Office 365 的成功也意味著更多電子郵件威脅將針對雲端使用者。

趨勢科技 Cloud App Security™ (CAS) 是一套以應用程式開發介面 (API) 為基礎的服務，能保護 Microsoft® Office 365™ Exchange™ Online、OneDrive® for Business 以及 SharePoint® Online 等平台。它具備多重進階威脅防護，能擔當 Office 365 內建的電子郵件與檔案掃瞄之後的第二道防護。

2017 年，趨勢科技 Cloud App Security 成功偵測並攔截了 340 萬個高風險的電子郵件威脅，而這些威脅都是 Office 365 內建防護所遺漏的，其中包括：260,000 個未知惡意程式、50,000 個勒索病毒，以及 3,000 個變臉詐騙攻擊。

趨勢科技 Cloud App Security 的客戶通常在建置了這套解決方案之後都能看到立竿見影的效果。美國 Live Nation 娛樂公司部署了趨勢科技 Cloud App Security 之後，減少了 90% 的惡意程式感染，大幅減輕事件應變團隊的負擔。愛爾蘭科克大學 (University College Cork) 自從建置了 CAS 之後，就再也沒有感染過勒索病毒。芬蘭包裝材料大廠 Walki 集團的資安報告顯示，CAS 每星期都攔截到不少次包含勒索病毒在內的威脅。

即使是已經內建 Microsoft Advanced Threat Protection 進階威脅防護的 Office 365 企業版 E5 方案，趨勢科技 CAS 同樣也能適用。歐洲一家全球性運輸貨運公司即採用 E5 方案並有 25,000 多名電子郵件使用者，但該公司仍經常遭到勒索病毒攻擊。該客戶使用趨勢科技 Cloud App Security 來手動掃瞄三天的電子郵件和 OneDrive 資料之後，在電子郵件內發現了 3,000 個進階網路釣魚、28 個勒索病毒以及一個變臉詐騙。此外也在 OneDrive 上發現了四個勒索病毒檔案。

更多詳細內容，請參閱以下報告來了解 CAS 可攔截的威脅類型以及 2017 年 Trend Labs 所發現的常見電子郵件攻擊。

電子郵件是企業必備的一項生財工具，讓企業員工、客戶和供應商之間能夠順利溝通，其功能和系統能夠有效帶動企業營運必要的一些重要元素。所以，電子郵件成為網路犯罪集團散布誘餌以從事不法行為的管道，也就不令人意外。

一個惡意的Word或一個 PDF 附件讓全球企業付出慘痛代價

電子郵件至今仍是惡意程式及其他威脅最常見的感染途徑：根據 Smart Protection Network™ 全球威脅情報網 2017 年的資料顯示，94% 的勒索病毒威脅都來自電子郵件，此外，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise-BEC)從該年上半年至下半年成長了 106%。多年來，全球各地的企業機構都曾經只因為一個惡意的 Microsoft Word 文件或一個 PDF 附件檔案而付出慘痛的代價：高額的贖金、系統癱瘓、商譽受損。

趨勢科技 Cloud App Security™ 解決方案是一套以應用程式開發介面 (API) 為基礎的服務，能保護 Microsoft® Office 365™ Exchange™ Online、OneDrive® for Business 以及 SharePoint® Online 等平台。它可擔當 Office 365 的電子郵件與檔案掃瞄之後的第二道防護。藉由機器學習和沙盒模擬惡意程式分析來偵測勒索病毒、變臉詐騙以及其他進階威脅，有效遏止不斷繁衍的電子郵件威脅。Cloud App Security 能偵測已知及未知的電子郵件威脅，防止威脅滲透到雲端服務內。

2017 年趨勢科技 Cloud App Security偵測並攔截了 340 萬個高風險電子郵件威脅

2017 年一整年，Cloud App Security 偵測了 65,000 個已知的木馬程式、蠕蟲、病毒及後門程式。Cloud App Security 的分類引擎在第二季經過強化之後，光 2017 年後三季就偵測了 50,000 多個勒索病毒與 3,000 多個變臉詐騙威脅。此外，其執行前靜態機器學習與沙盒模擬分析引擎也攔截了 26 萬個未知的電子郵件威脅。同期，該解決方案也攔截了 280 萬個已知惡意連結及 19 萬封網路釣魚郵件。除了 Office 365 內建的威脅掃瞄之外，Cloud App Security 本身就偵測並攔截了 340 萬個高風險的電子郵件威脅。繼續閱讀

2017年勒索病毒損失金額成長4倍達50億美元;去年 10 月挖礦程式突破10萬關卡

2018 年 03 月 08 日2018 年 03 月 08 日趨勢科技 TrendMicro

趨勢科技2017年度資安總評報告 以獲利為主的駭客攻擊稱王

籲防範新型態網路犯罪留意歐盟通用資料保護法（GDPR）詐騙

【2018年3月8日台北訊】全球網路資安解決方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）今天發表2017年資安總評報告「2017 年資安總評：弔詭的網路威脅」，指出2017年勒索病毒、加密虛擬貨幣挖礦程式，以及變臉詐騙（BEC）數量持續攀升，成為網路犯罪集團的主要攻擊手法。其中勒索病毒造成全球企業損失金額較2016年狂增4倍達50 億美元，而台灣受勒索病毒的攻擊全球排名更上升兩名，在2017年遭攻擊千萬次以上^[1]。此外，全球變臉詐騙（BEC）損失也較2016年累積金額多出23億美元，顯見網路犯罪集團已不斷精進其針對性攻擊手法，創造更高獲利。趨勢科技警告這股趨勢將延續至2018年，且伴隨歐盟新的資料保護法即將在5月上路，需要遵守這項法規的企業恐將成為不法人士進行數位詐騙的目標。

報告顯示加密虛擬貨幣挖礦惡意程式數量在2017年10月已突破10萬關卡。同時 IoT 裝置被利用來進行加密虛擬貨幣挖礦活動即達4,560萬次以上 — 報告顯示加密虛擬貨幣挖礦惡意程式數量在2017年10月已突破10萬關卡。被利用來進行加密虛擬貨幣挖礦活動即達4,560萬次以上同時 IoT 裝置被利用來進行加密虛擬貨幣挖礦活動即達4,560萬次以上

趨勢科技在先前的2018年資安預測即指出，網路犯罪集團已開始逐漸拋棄使用漏洞攻擊套件亂槍打鳥的手法，轉而採用更有策略的針對性攻擊來提升投資報酬率。此份最新報告也再次提醒，駭客很可能開始鎖定一些需要遵守最新歐盟通用資料保護法（GDPR）的企業，先根據網路公開資訊計算出目標企業在發生資料外洩時可能面對的最高罰鍰，再入侵該企業並要求一筆低於該罰鍰的贖金，迫使目標企業只能乖乖付錢。

對此，趨勢科技全球威脅通訊總監Jon Clay表示：「2017年資安總評報告所揭露的威脅情勢就如同過去一樣詭譎多變，網路犯罪集團不斷開發提高其獲利的方法，不論是財物、資料或商譽，歹徒總是策略性地鎖定企業最有價值的資產發動攻擊。面對多樣化的威脅，企業需要一套跨世代的解決方案加上最新防禦技巧，才能協助企業有效降低風險。」繼續閱讀

企業資安:BEC 變臉詐騙最愛用”採購訂單”當網路釣魚檔名

2018 年 03 月 08 日2018 年 03 月 06 日趨勢科技 TrendMicro

變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC） (Business Email Compromise，亦稱「商務電子郵件入侵」，簡稱 BEC) 這幾年來在全球瘋狂成長，專家預測這項威脅在 2018 年將達到 90 億美元的規模。由於變臉詐騙手法簡單有效，因此未來肯定將持續成為歹徒最青睞的攻擊之一，尤其是那些缺乏專業工具、知識和技術而無法從事其他複雜攻擊的不肖之徒。

去年我們趨勢科技花了九個月的時間 (2017 年 1 月至 9 月) 仔細研究了各種變臉詐騙案例，希望能從中發掘一些發展趨勢以及歹徒使用的工具和技巧，進而描繪出今日變臉詐騙的整體樣貌。

變臉詐騙兩大技巧

網際網路犯罪申訴中心 (Internet Crime Complaint Center，簡稱 IC3) 將變臉詐騙分成五大類型。不過，我們在追蹤研究的期間發現，變臉詐騙可根據其攻擊技巧只分成兩大類：

竊取帳號登入憑證：這類技巧通常使用鍵盤側錄程式和網路釣魚套件來竊取目標企業網頁郵件 (webmail) 的帳號密碼。
單純利用電子郵件：這項技巧基本上是發送一封電子郵件給目標企業財務部門的員工，其對象通常是企業的財務長 (CFO)。這封電子郵件會假冒企業的高階主管，並要求員工匯一筆款項給某供應商或外包商，或是幫其個人暫時代墊某筆款項。

竊取帳號登入憑證的技巧還可細分為兩種：第一種使用的是惡意程式，另一種使用的是網路釣魚。

變臉詐騙最喜歡的檔名:採購訂單

在仔細觀察惡意附件檔案的樣本之後，我們發現歹徒使用的附件檔名有一定的規律，以下就是最常用的幾種檔名類型：

惡意程式附件檔最常使用的幾種檔名類型
(根據 VirusTotal 的樣本)。

在使用惡意程式的變臉詐騙方面，最活躍的惡意程式有兩個：第一個是叫做「Ardamax」的軟體，售價 50 美元，提供了變臉詐騙所需的基本功能，另一個叫做「LokiBot」，是變臉詐騙集團越來越常用的惡意程式家族。
反觀單純採用電子郵件的變臉詐騙則主要仰賴社交工程技巧。雖然社交工程技巧原本就是大多數變臉詐騙的重要元素之一，但純粹使用電子郵件的變臉詐騙，其社交工程技巧要高明許多，很能掌握人類的心理。簡單來說，這類攻擊會讓電子郵件看其來相當具說服力，並且會巧妙運用電子郵件的「主旨」、「回覆地址」及「寄件人」等欄位。

刻意註冊看似受害機構高階主管個人的電子郵件，或註冊模仿被害企業的網域。

除了前述手法之外，變臉詐騙集團還會註冊一些看似受害機構高階主管個人的電子郵件地址。他們會到一些狡猾的免費網頁郵件服務開立信箱，或者註冊一個模仿被害企業的網域。

變臉詐騙電子郵件所用技巧的分布情況大致如下：
電子郵件變臉詐騙所使用的技巧 (回覆地址、狡猾的網頁郵件、模仿被害企業的網域)。

此外，我們也研究了一下歹徒如何取得他們的犯案工具，尤其是攻擊中所使用的網路釣魚網站。變臉詐騙集團最常用使用網路釣魚套件來發動攻擊。我們從研究案例當中找到了一名變臉詐騙歹徒，並且找出他所使用的工具以及取得管道。

趨勢科技在好幾個網路釣魚網站發現這名歹徒的蹤跡，因此推論變臉詐騙嫌犯應該都會架設多個網路釣魚網站來從事詐騙。他們大多活躍於地下犯罪市場，並且從中取得他們所需的詐騙工具。而且，地下市場甚至還有一些專門給變臉詐騙新手的教學資源，協助他們快速上手。換句話說，變臉詐騙歹徒可以很輕易地獲得它們所需的工具和技巧。這份研究主要是希望能讓大家對變臉詐騙有一番更清楚的認識，包括：最新發展趨勢、歹徒的工具和技巧，以及一般消費者和企業該如何防範這類攻擊。

➔ 完整報告：變臉詐騙 (BEC) 技巧發展趨勢追蹤

原文出處：Delving into the World of Business Email Compromise (BEC)