變臉詐騙 (BEC) - 資安趨勢部落格

【2019 年資安預測】不只是企業高層主管，變臉詐騙也將開始鎖定一般員工 (6-5)

2019 年 01 月 10 日2019 年 01 月 17 日趨勢科技 TrendMicro

一封假冒的電子郵件竟讓一名受害者將 531,981 美元匯到詐騙帳戶!
今年初,媒體揭露中國駭客集團山寨一家印度公司CEO電郵,，安排一系列的網路語音會議，洽談中方有意收購的「極機密」事件，竟得手13億盧比（約台幣5億元）,受害公司自去年11月單週內3次轉帳到香港銀行，到了第4次才察覺有異。
截至 2018 年為止，全球因變臉詐騙 (BEC) 所損失之金額已超過 120 億美元。為了掌握詐騙集團的最新情況，我們回顧了今年一些最值得注意且讓變臉詐騙經常占據媒體版面的事件和趨勢。

變臉詐騙攻擊或稱為商務電子郵件入侵BEC)之所以屢屢能讓受害者上當，大多可歸因於人員的疏忽。人性的弱點，再加上詐騙郵件似乎總能夠躲過網路資安產品的偵測，使得變臉詐騙成為一項使用者和企業仍應嚴肅看待的持續威脅。

根據美國聯邦調查局 (FBI) 的統計，這類詐騙截至 2018 年為止已累計造成125 億美元的損失。這表示變臉詐騙儘管技巧上相當單純，事實上卻非常有效。2018 年我們一直在持續追蹤變臉詐騙的嘗試攻擊案例，從第一季至第三季共偵測到 9,291 次變臉詐騙嘗試攻擊，這數字較去年同期的 6,342 次增加了 46%。根據我們的資料，美國、澳洲和英國是詐騙集團最常攻擊的前三大國家。

2018 年前三季變臉詐騙(BEC)較 2017 年成長 46%,房地產業成鎖定目標

2018 年前三季偵測到 9,291 次變臉詐騙攻擊嘗試，較 2017 年成長 46%

有別於一些仰賴高深技術的手法，變臉詐騙利用的是社交工程伎倆與人性的弱點。雖然，隨著科技服務日益普及，變臉詐騙集團也開始假冒 Microsoft 和 Amazon 的名義來從事詐騙，但他們仍舊經常冒充企業高層主管來促使財務部門將款項匯到詐騙帳戶。2018 年，根據趨勢科技 Smart Protection Network™ 全球威脅情報網的資料顯示，執行長 (CEO) 和董事總經理/董事 (Managing Director/Director) 是歹徒最常冒充的高階主管。

為了掌握詐騙集團的最新情況，我們回顧了今年一些最值得注意且讓變臉詐騙經常占據媒體版面的事件和趨勢。繼續閱讀

《病毒30演變史》「一封郵件騙走一棟房子」老闆,別再成詐騙集團金雞母 ! 2018年趨勢科技首創 AI 技術防禦BEC 詐騙

2018 年 10 月 16 日2018 年 10 月 19 日趨勢科技 TrendMicro

趨勢科技成立之初,當年出現的病毒,是靠磁碟片傳播的
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒/資安威脅演變史。
本篇來到 2013年開始興起的 BEC 電子郵件詐騙,及趨勢科技如何使用人工智慧 (AI) 及機器學習來防禦這類詐騙

2017年 10 月新竹一間長期與中國代工廠合作的科技公司，原本都用對方「xxx@ximhan.net」信箱聯絡，沒想到歹徒另創立名稱相似的「xxx@xlmhan.net」假帳號，以定期更換受款帳戶，以免遭洗錢犯罪利用為由，要求更改受款帳戶。該公司不疑有他，一時眼花, i 跟 l 分不清,損失新台幣2千餘萬元!這是變臉詐騙攻擊或稱為商務電子郵件入侵(Business Email Compromise 簡稱 BEC) 常用的手法。一封郵件騙走一棟房子一點都不誇張。

刑事局受理的 BEC 詐騙案件，到今(2018)年 10月5日為止，已有 45 件，平均算起來，大約每周都會有一家臺灣企業遇害報案，而遭到詐騙的金額更是已經超過2億元。

美國南俄勒岡大學在 201 7年 4 月底因BEC 詐騙轉帳損失190萬美元。他們以為轉帳對象是負責建設學生娛樂中心的建築公司。但該公司從未收到過該款項
原因是騙子冒充既定廠商，向大學財務處發送支付帳戶變更通知郵件

趨勢科技看過各種 BEC 詐騙手法,包含用”採購訂單”當網路釣魚檔名;網路釣魚執行檔易被起疑心, 改用 HTML 附件讓你上鉤!;2017年男大生認罪, 利用 Limitless鍵盤側錄程式危駭數千企業! 趨勢科技FTR 團隊協助逮捕;

FBI 報告：全球變臉詐騙 (BEC) 損失金額已超過 120 億美元

繼續閱讀

這些員工沒看穿的騙局,造成的損失可能比病毒還大－企業常見四種電子郵件威脅

2018 年 10 月 08 日2018 年 11 月 07 日趨勢科技 TrendMicro

儘管社群媒體和即時通變得越來越普及，但電子郵件仍是企業重要的溝通工具。不幸的是，電子郵件的廣泛使用也讓它成為網路犯罪的理想平台。在本篇文章中將會介紹四種電子郵件威脅垃圾郵件、網路釣魚(Phishing)、詐騙郵件和變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱BEC)。

垃圾郵件（Spam）

儘管有許多方法可以過濾掉這些不想要的電子郵件，但垃圾郵件仍舊讓企業吃了不少苦頭。雖然一般都只將將垃圾郵件視為擾人的事情，但真正危險的是透過垃圾郵件散播的惡意軟體。在2016年，有71%的勒索病毒Ransomware (勒索軟體/綁架病毒)透過垃圾郵件傳播，讓電子郵件成為最常見的攻擊媒介。與網路釣魚郵件一樣，垃圾郵件也可以偽裝成像從銀行或網路商家等合法來源寄出，增加無辜使用者下載可疑檔案的機會。Cerber、Petya和Locky等勒索病毒攻擊事件也顯示出惡意垃圾郵件攻擊的規模可以發展得有多大。

快速提示：網路管理員應確保正確地設定垃圾郵件過濾器，包括政策管理和威脅偵測等級設定。此外，全面性的電子郵件安全閘道需要具備網頁信譽評比追踪、文件漏洞攻擊偵測和客製化威脅情報等功能，能夠在針對性攻擊到達使用者之前先加以封鎖。

網路釣魚（Phishing）

網路釣魚是種利用操縱心理手法來誘使收件者洩露敏感資訊的電子郵件威脅，駭客再將這些敏感資料拿去販賣或用在其他惡意用途。網路釣魚攻擊通常會使用以假亂真的寄件者加上社交工程（social engineering ）過的郵件內容，讓缺乏這類詐騙意識的一般使用者很難加以分辨。網路釣魚郵件還可能夾帶了惡意軟體附件檔、詐騙網站連結或是兩者都有。

魚叉式釣魚（spear phishing）是一種更加針對性的網路釣魚攻擊，它會針對特定個人或組織進行高度客製化的攻擊。在此類攻擊中，駭客通常會對目標受害者進行廣泛的研究，以求製作的電子郵件看起來更像真的。雖然一般使用者常常成為魚叉式釣魚攻擊的目標，但大型企業也會成為駭客的目標，如2016年的「Pawn Storm行動」。

快速提示：網路犯罪分子會利用各種社交工程（social engineering）來迫使目標受害者下載檔案或給出敏感資訊，因此教育員工如何防範網路釣魚攻擊非常重要。如果企業的安全軟體整合了網路釣魚防護功能，則應該啟用並正確地設定。

繼續閱讀

FBI 報告：2018 年全球變臉詐騙 (BEC) 損失金額已超過 120 億美元

2018 年 07 月 31 日2018 年 09 月 14 日趨勢科技 TrendMicro

2018 年 7 月 12 日，美國聯邦調查局 (FBI) 網際網路犯罪申訴中心 (Internet Crime Complaint Center，簡稱 IC3) 發布一份公告指出，變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise，簡稱 BEC)/電子郵件帳號入侵 (EAC) 的問題持續升高，尤其在房地產業。FBI 彙整了來自包括國際執法機構在內的各方數據之後發現，從 2016 年 12 月至 2018 年 5 月，全球已曝光的變臉詐騙損失金額成長了 136%。其大幅成長的結果，也導致美國境內及國際合併總損失金額增加到 125 億美元左右，此數字甚至比趨勢科技 2018 年資安預測所預期的金額高出 30 億美元。

近幾年來，變臉詐騙集團持續鎖定房地產業發動攻擊，IC3 在 2017 年網路網路犯罪報告當中已明確指出這點。根據官方資料，從 2015 至 2017 年，房地產交易案件的受害人數暴增了 1,100% 以上。產權公司、法律事務所、房地產仲介業者以及買家/賣家的受害模式大多是在房地產交易過程當中收到假冒電子郵件，受害者依據歹徒的指示將款項匯到假冒的國內帳戶，其實這些帳戶大多是位於中國及香港的亞洲銀行帳戶。

IC3 最新報告當中還有一點值得注意的是受害者的身分，也就是該報告中所指的境內「錢騾」(money mule)。這些錢騾經常是詐騙集團利用金光黨或婚姻詐騙手法所騙來的受害者。詐騙集團會利用這些受害者，幫他們開設一些臨時的銀行帳戶。繼續閱讀

企業資安:BEC 變臉詐騙最愛用”採購訂單”當網路釣魚檔名

2018 年 03 月 08 日2018 年 03 月 06 日趨勢科技 TrendMicro

變臉詐騙攻擊或稱為商務電子郵件入侵（Business Email Compromise，簡稱 BEC） (Business Email Compromise，亦稱「商務電子郵件入侵」，簡稱 BEC) 這幾年來在全球瘋狂成長，專家預測這項威脅在 2018 年將達到 90 億美元的規模。由於變臉詐騙手法簡單有效，因此未來肯定將持續成為歹徒最青睞的攻擊之一，尤其是那些缺乏專業工具、知識和技術而無法從事其他複雜攻擊的不肖之徒。

去年我們趨勢科技花了九個月的時間 (2017 年 1 月至 9 月) 仔細研究了各種變臉詐騙案例，希望能從中發掘一些發展趨勢以及歹徒使用的工具和技巧，進而描繪出今日變臉詐騙的整體樣貌。

變臉詐騙兩大技巧

網際網路犯罪申訴中心 (Internet Crime Complaint Center，簡稱 IC3) 將變臉詐騙分成五大類型。不過，我們在追蹤研究的期間發現，變臉詐騙可根據其攻擊技巧只分成兩大類：

竊取帳號登入憑證：這類技巧通常使用鍵盤側錄程式和網路釣魚套件來竊取目標企業網頁郵件 (webmail) 的帳號密碼。
單純利用電子郵件：這項技巧基本上是發送一封電子郵件給目標企業財務部門的員工，其對象通常是企業的財務長 (CFO)。這封電子郵件會假冒企業的高階主管，並要求員工匯一筆款項給某供應商或外包商，或是幫其個人暫時代墊某筆款項。

竊取帳號登入憑證的技巧還可細分為兩種：第一種使用的是惡意程式，另一種使用的是網路釣魚。

變臉詐騙最喜歡的檔名:採購訂單

在仔細觀察惡意附件檔案的樣本之後，我們發現歹徒使用的附件檔名有一定的規律，以下就是最常用的幾種檔名類型：

惡意程式附件檔最常使用的幾種檔名類型
(根據 VirusTotal 的樣本)。

在使用惡意程式的變臉詐騙方面，最活躍的惡意程式有兩個：第一個是叫做「Ardamax」的軟體，售價 50 美元，提供了變臉詐騙所需的基本功能，另一個叫做「LokiBot」，是變臉詐騙集團越來越常用的惡意程式家族。
反觀單純採用電子郵件的變臉詐騙則主要仰賴社交工程技巧。雖然社交工程技巧原本就是大多數變臉詐騙的重要元素之一，但純粹使用電子郵件的變臉詐騙，其社交工程技巧要高明許多，很能掌握人類的心理。簡單來說，這類攻擊會讓電子郵件看其來相當具說服力，並且會巧妙運用電子郵件的「主旨」、「回覆地址」及「寄件人」等欄位。

刻意註冊看似受害機構高階主管個人的電子郵件，或註冊模仿被害企業的網域。

除了前述手法之外，變臉詐騙集團還會註冊一些看似受害機構高階主管個人的電子郵件地址。他們會到一些狡猾的免費網頁郵件服務開立信箱，或者註冊一個模仿被害企業的網域。

變臉詐騙電子郵件所用技巧的分布情況大致如下：
電子郵件變臉詐騙所使用的技巧 (回覆地址、狡猾的網頁郵件、模仿被害企業的網域)。

此外，我們也研究了一下歹徒如何取得他們的犯案工具，尤其是攻擊中所使用的網路釣魚網站。變臉詐騙集團最常用使用網路釣魚套件來發動攻擊。我們從研究案例當中找到了一名變臉詐騙歹徒，並且找出他所使用的工具以及取得管道。

趨勢科技在好幾個網路釣魚網站發現這名歹徒的蹤跡，因此推論變臉詐騙嫌犯應該都會架設多個網路釣魚網站來從事詐騙。他們大多活躍於地下犯罪市場，並且從中取得他們所需的詐騙工具。而且，地下市場甚至還有一些專門給變臉詐騙新手的教學資源，協助他們快速上手。換句話說，變臉詐騙歹徒可以很輕易地獲得它們所需的工具和技巧。這份研究主要是希望能讓大家對變臉詐騙有一番更清楚的認識，包括：最新發展趨勢、歹徒的工具和技巧，以及一般消費者和企業該如何防範這類攻擊。

➔ 完整報告：變臉詐騙 (BEC) 技巧發展趨勢追蹤

原文出處：Delving into the World of Business Email Compromise (BEC)