美國聯邦調查局已經對變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)的劇增提出警告,全球企業遭詐騙金額超過23億美元,特別是美國和歐洲企業。這些詐騙攻擊並不偏好特定目標,從小型公司到大型企業都出現了受害者。攻擊者之所以得逞,所需的只是公司高層或是貼身助理的電子郵件地址,以及能夠做出假以亂真郵件的能力。這類冒充高階主管的網路騙局也被稱為「執行長詐騙(CEO Fraud)」。
會計轉出542,000美元,只因假 CEO 的一封信
從遭受執行長詐騙(CEO Fraud)的案例可以看出這種騙局對公司會產生多大的威脅。在FACC Operations GmBH一例,這家飛機零件製造商承認遭受「網路詐騙」攻擊,損失超過5,400萬美元。另一個案例是法國的Etna Industrie,其執行官Carole Gratzmuller回到公司發現她的會計轉出542,000美元到未知的外國銀行帳號,只是因為來自冒稱Carole名義郵件的命令。
其他利用惡意軟體的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)詐騙類型也造成很大的影響。我們所報導過的Olympic Vision企業郵件受駭(BEC)活動利用了只要25美元就可以買到的工具包來攻擊全球三個不同區域的國家。
因為其所造成的影響,英國已經進一步地成立聯合詐騙防治小組來打擊金融詐騙,並且提供更多意識宣導給廣大企業及公眾。
【延伸閱讀:一封高階主管的正式信函,導致連鎖超市 21,000 名員工報稅資料外洩】
眼尖的秘書也難以識破的執行長詐騙 (CEO Fraud)
執行長詐騙(CEO Fraud)是一種BEC詐騙類型,假冒公司高層的郵件帳號來要求匯款到詐騙用帳戶。靠著冒充成公司的執行長,這些騙子可以偽造匯款請求來吸光公司的錢。它就像是魚叉式網路釣魚,但不一定需要用到惡意軟體。網路犯罪分子有技巧地讓郵件看起來可信並且有熟悉的感覺,連眼尖的秘書都不會懷疑它是假的。
圖2、3、4:偽造的郵件設計成「感覺」熟悉而又是在進行公事
除了用執行長名義送出電子郵件外,還加上「顧問」來電
但這類騙局並非只會利用電子郵件。就像在Etna Industrie事件裡,除了用執行長名義送出電子郵件外,還加上來自「顧問」的電話,用買公司的幌子要求公司會計匯款到國外帳戶。
圖5:假郵件範例,設計來誘騙員工隱瞞自己的活動,利用看似正常的「秘密行動」說詞
當然,這並不是說完全不會使用惡意軟體。如上所述,執行長詐騙(CEO Fraud)只是 BEC詐騙手法的一種。類似攻擊也會使用惡意軟體,如鍵盤側錄程式。我們已經討論過這類攻擊(Hawkeye、Predator Pain和Limitless),加上Olympic Vision那次,這對網路犯罪分子來說既簡單又單純,而且成本只要不到40美元。這讓 BEC詐騙成為更大的威脅,因為它們沒有進入門檻而且容易執行。
如何防範 BEC詐騙
像執行長詐騙(CEO Fraud)這類沒有使用惡意軟體(連結或附件)的電子郵件威脅特別難以偵測。也沒有東西可以讓傳統的郵件安全軟體來加以偵測或封鎖,因為它算是正常通訊,只是寄件者並不誠實。不僅如此,因為它直接寄送給目標,並且結合了其他元素(如電話),讓受害者更加容易相信這騙局的合法性而不會起疑。
儘管手法很精細,執行長詐騙(CEO Fraud)和其他類型的 BEC詐騙 並非不可能防範。對企業來說,最重要的是具備超越傳統郵件威脅的防護能力,能夠阻止沒有使用惡意軟體的電子郵件威脅,如執行長詐騙(CEO Fraud)。
趨勢科技的社交工程攻擊防護技術可以幫助大型企業和中小型公司來防護 BEC詐騙。此技術整合在我們的InterScan Messaging Security Suite 和 Hosted Email Security內,透過檢查電子郵件標題、社交工程(social engineering )手法、偽造行為 BEC詐騙相關惡意軟體來提供多一層的保護。這些產品可以從趨勢科技 Smart Protection Suites 和 Network Defense解決方案所提供的端點和郵件安全能力取得。
防範BEC詐騙的另一個關鍵要素是員工教育。全體員工 – 從CEO到基層員工都必須對詐騙有所了解,並且知道遇到時該怎麼做。
要馬上建立讓員工能夠與執行長或高階主管加以確認的驗證系統,並且嚴格執行。比方說雙驗證系統,任何重要決定,即使是在執行長不在的情況下,也需要至少兩個人來加以驗證和確認。
想要進一步了解 BEC 詐騙威脅和過去的攻擊活動,可以參考相關文章:
【新興騙局:BEC 】專門入侵企業高階主管郵件帳號,假交辦事項 ,真匯款詐財