分類: 趨勢專家談趨勢

某家跨國性整合技術製造商的會計主任,收到一封據稱來自執行長的電子郵件，信中指派了一項緊急的匯款工作。為了增加真實性，歹徒再假扮成律師打電話並寫信給這位會計主任。整個過程才幾個鐘頭的時間,歹徒撈到 48 萬美元。

同樣都是直接駭入電腦系統，商業流程入侵(BPC) 非藉由人員的疏失或入侵電子郵件帳號。歹徒會駭入企業的業務流程系統，藉由新增、修改或刪除資料來將款項轉到他們戶頭，或將商品轉到指定地點。一般來說，一樁 BPC 攻擊從背景調查、攻擊策畫到真正駭入企業系統並取得款項或商品，大約需要 5 個月的時間。

過去十年，資安威脅情勢已大幅演變，從 2001 年的蠕蟲開始，到 2005 年的「Botnet傀儡殭屍網路」和間諜程式，而現在則是針對性攻擊/鎖定目標攻擊(Targeted attack )、行動威脅與勒索病毒 Ransomware (勒索軟體/綁架病毒)當道的年代。威脅的破壞力不斷上升，而且動輒癱瘓企業。

為了因應日益成長的威脅，資安產業也開發出各種推陳出新的解決方法，例如：新一代防護、入侵偵測、雲端防護等等，這些都是解決今日資安問題的必要元素。然而若是考慮到企業整體，那毫無疑問地需要一套面面俱到、環環相扣的多層式防禦。除了氾濫成災的勒索病毒之外，還有兩種類型的攻擊將使得多層式防禦在 2017 年更加重要，那就是：變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)與商業流程入侵 (BPC)。

變臉詐騙 (BEC)：專門針對那些經常需要匯款給外部供應商的企業機構

變臉詐騙早已不是什麼新鮮手法，趨勢科技和美國聯邦調查局 (FBI) 多年來一直不斷發表研究報告與警告來提醒大家注意這類攻擊。這是一種精密的詐騙手法，專門針對那些經常需要匯款給外部供應商的企業機構。事實上，我們在 2016 年資訊安全總評報告當中指出，這類攻擊已遍及全球 92 個國家，而且由於投資報酬率驚人，因此預料 2017 年還會繼續成長。

讓我們來看一下 2014 年發生在 AFGlobal 這家跨國性整合技術製造商的案例，就能了解這類詐騙是如何得逞。首先，該公司的會計主任收到一封據稱來自執行長的電子郵件，信中指派了一項緊急的匯款工作。為了增加真實性，歹徒再假扮成律師打電話並寫信給這位會計主任來說明這筆匯款，並希望款項能盡快匯出。在款項匯出之後，對方沉寂了幾天，緊接著又要求另一筆 1,800 萬美元的匯款。但由於金額過於龐大，讓會計主任起了疑心，這樁詐騙才因而現形。雖然後面這筆 1,800 萬美元的金額歹徒並未得逞，但歹徒在前一次匯款時已撈到 48 萬美元，而且整個過程才幾個鐘頭的時間。

這就是變臉詐騙可怕之處，才不過短短的時間就能造成高額的損失。

⊙延伸閱讀:

「緊急通知」或「付款到期」開頭的信件,駭人獲利竟逾 30 億美元
◢   防 BEC 變臉詐騙小秘訣

商業流程入侵 (BPC)：從內部流程直接將匯款轉向,準備期約 5 個月

然而若和商業流程入侵 (BPC) 詐騙相比，變臉詐騙的損失金額和影響力只不過是小巫見大巫。其中最知名的案例就是 2016 年初孟加拉銀行遭到網路洗劫的事件。除了洗劫銀行之外，歹徒的其他做案手法還有：駭入訂單系統篡改款項支付對象、入侵支付系統授權轉帳至歹徒戶頭、駭入出貨系統竄改高價商品的運送地址。 繼續閱讀