假冒執行長的《變臉詐騙 》郵件,沒有惡意附件或網址,該如何預防?

與其他網路犯罪計劃不同,要防禦商務電子郵件入侵可能特別有困難度。攻擊者通常只對「寄件者」和「回覆」地址動手腳,並將主旨限制在幾個字,以避免引起懷疑並增加急迫性。換句話說,郵件本身不會在本文出現典型的惡意內容(惡意附件或網址)。這意味著傳統安全解決方案根本不會加以刪除。

收到這種信件的員工也要如何有效地阻止BEC詐騙?其實很簡單…

假冒執行長(CEO)詐騙郵件鎖定醫療機構

mail2

 

上個月一連串利用假冒執行長騙局的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊了美國17家、英國10家和加拿大8家的醫療機構。這些機構包括了一般醫院、教學醫院,專業照護和私人診所。即便是製藥公司也不能免於BEC詐騙,因為英國一家和加拿大兩家的製藥公司也成為目標。

假冒執行長詐騙(CEO fraud)是BEC商務電子郵件詐騙的一種,透過假冒執行長或其他高階主管的電子郵件帳號來對管理公司匯款的負責人(財務長、財務總監或會計)發送詐欺性匯款請求。不知情的員工因為誤信這是個正常的請求而將資金轉帳到網路犯罪分子所控制的銀行帳戶(每次事件的平均金額是14萬美元)。
看起來像是來自執行長或高階主管的來信, 使用與目標醫療機構非常相似的網域名稱

趨勢科技發現針對醫療機構的攻擊活動主要使用兩種技術。

  1. 第一種是假造寄件者地址讓它看起來像是來自執行長或高階主管的電子郵件,而回覆地址則使用詐騙分子的電子郵件地址。
  2. 第二種技術是利用相似的網域名稱,詐騙分子使用跟目標醫療機構非常相似的網域名稱。這可以讓電子郵件地址只有一個字元的不同。詐騙分子接著製作簡單而無害的主旨,通常包含以下字詞:
  • 非常緊急
  • 付款到期
  • 緊急付款

幾個國家保健署(NHS)的機構也被觀察到成為這些攻擊的目標,使用顯示成<醫院名稱>-nhs.co的模仿網域而非nhs.uk。偵察顯示這些假冒執行長詐騙背後的惡意分子可以輕易地利用公開來源資訊(OSINT)來針對這些機構 – 從公開的組織圖來收集公司內部職位。

 

攻擊者通常只對「寄件者」和「回覆」地址動手腳,郵件本身不會出現惡意附件或網址

與其他網路犯罪計劃不同,要防禦商務電子郵件入侵可能特別有困難度。根據針對醫療機構的電子郵件,攻擊者通常只對「寄件者」和「回覆」地址動手腳,並將主旨限制在幾個字,以避免引起懷疑並增加急迫性。換句話說,郵件本身不會在本文出現典型的惡意內容(惡意附件或網址)。這意味著傳統安全解決方案根本不會加以刪除。

趨勢科技透過社交工程攻擊防護技術來保護中小企業、大型企業和醫療機構對抗BEC詐騙相關的電子郵件。此技術已經整合進InterScan Messaging Security Virtual ApplianceHosted Email Security,利用機器學習來檢查電子郵件標頭和社交工程技術,並且偵測BEC詐騙相關的惡意軟體。這些端點和電子郵件安全功能都是由趨勢科技 Smart Protection SuitesNetwork Defense解決方案提供。

 

預防: 不要直接用回覆,而是使用轉寄選項再從公司通訊錄內選擇電子郵件地址

其實員工也能夠有效地阻止BEC詐騙,雖然匯款要求通常要目標員工立即採取行動,但還是要仔細檢查並驗證轉帳詳情。不要直接用回覆,而是使用轉寄選項再從公司通訊錄內選擇電子郵件地址以確保通訊的正確性。

 

更多關於商務電子郵件入侵的資訊及組織可以實施的安全措施:

 

@原文出處:CEO Fraud Email Scams Target Healthcare Institutions 作者:Ryan Flores(威脅研究經理)

快速認識變臉詐騙:

bec

入侵出納人員電子郵件帳號
攔截預定好的轉帳交易
假借高階主管名義寄發郵件
下令執行新的轉帳交易
這就是所謂的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC) 。
此類攻擊歹徒多半只需用到一般的後門程式 (網路價格不到 50 美元) 以及搜尋找到的受害目標及其員工背景資料,及可進行社交工程詐騙。