企業如何防範BEC(變臉詐騙),BPC(商業流程入侵)和勒索病毒等詐騙?

某家跨國性整合技術製造商的會計主任,收到一封據稱來自執行長的電子郵件,信中指派了一項緊急的匯款工作。為了增加真實性,歹徒再假扮成律師打電話並寫信給這位會計主任。整個過程才幾個鐘頭的時間,歹徒撈到 48 萬美元。

同樣都是直接駭入電腦系統,商業流程入侵(BPC) 非藉由人員的疏失或入侵電子郵件帳號。歹徒會駭入企業的業務流程系統,藉由新增、修改或刪除資料來將款項轉到他們戶頭,或將商品轉到指定地點。一般來說,一樁 BPC 攻擊從背景調查、攻擊策畫到真正駭入企業系統並取得款項或商品,大約需要 5 個月的時間。

過去十年,資安威脅情勢已大幅演變,從 2001 年的蠕蟲開始,到 2005 年的「Botnet傀儡殭屍網路」和間諜程式,而現在則是針對性攻擊/鎖定目標攻擊(Targeted attack )、行動威脅與勒索病毒 Ransomware (勒索軟體/綁架病毒)當道的年代。威脅的破壞力不斷上升,而且動輒癱瘓企業。

為了因應日益成長的威脅,資安產業也開發出各種推陳出新的解決方法,例如:新一代防護、入侵偵測、雲端防護等等,這些都是解決今日資安問題的必要元素。然而若是考慮到企業整體,那毫無疑問地需要一套面面俱到、環環相扣的多層式防禦。除了氾濫成災的勒索病毒之外,還有兩種類型的攻擊將使得多層式防禦在 2017 年更加重要,那就是:變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)與商業流程入侵 (BPC)。

變臉詐騙 (BEC):專門針對那些經常需要匯款給外部供應商的企業機構

變臉詐騙早已不是什麼新鮮手法,趨勢科技和美國聯邦調查局 (FBI) 多年來一直不斷發表研究報告與警告來提醒大家注意這類攻擊。這是一種精密的詐騙手法,專門針對那些經常需要匯款給外部供應商的企業機構。事實上,我們在 2016 年資訊安全總評報告當中指出,這類攻擊已遍及全球 92 個國家,而且由於投資報酬率驚人,因此預料 2017 年還會繼續成長。

讓我們來看一下 2014 年發生在 AFGlobal 這家跨國性整合技術製造商的案例,就能了解這類詐騙是如何得逞。首先,該公司的會計主任收到一封據稱來自執行長的電子郵件,信中指派了一項緊急的匯款工作。為了增加真實性,歹徒再假扮成律師打電話並寫信給這位會計主任來說明這筆匯款,並希望款項能盡快匯出。在款項匯出之後,對方沉寂了幾天,緊接著又要求另一筆 1,800 萬美元的匯款。但由於金額過於龐大,讓會計主任起了疑心,這樁詐騙才因而現形。雖然後面這筆 1,800 萬美元的金額歹徒並未得逞,但歹徒在前一次匯款時已撈到 48 萬美元,而且整個過程才幾個鐘頭的時間。

這就是變臉詐騙可怕之處,才不過短短的時間就能造成高額的損失。

⊙延伸閱讀:

緊急通知」或「付款到期」開頭的信件,駭人獲利竟逾 30 億美元
◢   防 BEC 變臉詐騙小秘訣

商業流程入侵 (BPC):從內部流程直接將匯款轉向,準備期約 5 個月

然而若和商業流程入侵 (BPC) 詐騙相比,變臉詐騙的損失金額和影響力只不過是小巫見大巫。其中最知名的案例就是 2016 年初孟加拉銀行遭到網路洗劫的事件。除了洗劫銀行之外,歹徒的其他做案手法還有:駭入訂單系統篡改款項支付對象、入侵支付系統授權轉帳至歹徒戶頭、駭入出貨系統竄改高價商品的運送地址。

BPC 的手法類似針對性攻擊/鎖定目標攻擊(Targeted attack ),同樣都是直接駭入電腦系統,而非藉由人員的疏失或入侵電子郵件帳號。只不過,歹徒的動機單純只是為了錢,而非為了政治目的或是情報蒐集,這一點與針對性攻擊不同。歹徒會駭入企業的業務流程系統,藉由新增、修改或刪除資料來將款項轉到他們戶頭,或將商品轉到指定地點。一般來說,一樁 BPC 攻擊從背景調查、攻擊策畫到真正駭入企業系統並取得款項或商品,大約需要 5 個月的時間。

BPC 攻擊手法其實早已行之有年,但直到最近我們才將它正式命名。2013 年就曾經發生過販毒集團雇用駭客來入侵某港口的資料庫系統,以便他們走私毒品和運送鈔票。

正如我們最近發表的「美國城市不設防」(U.S. Cities Exposed) 報告指出,BPC 攻擊有時不需假借使用者之手,因為網路上有各種毫不設防的裝置,駭客只需利用系統漏洞,再配合一些技巧,就能夠輕易進入這些裝置。進入這些裝置之後,再利用它們來刺探內部網路,然後駭入商業流程系統,最後修改資料讓自己收到款項或商品。

企業該如何防範這類詐騙?

有效的多層式防護極為關鍵。電子郵件和網站閘道、端點裝置、網路以及伺服器,全都需要專屬的防護,而且要環環相扣才能發會效用和效率。拼拼湊湊的解決方案,或許能個別針對某一層來防護,但各層之間卻缺乏溝通而且疊床架屋,最後不僅影響效能,而且使用不便,形成防護管理上的負擔。反觀趨勢科技趨勢科技Deep SecurityDeep Discovery這類密切整合的產品,不僅能提供全面的防護來涵蓋整個 IT 環境,而且不犧牲效能與便利性。

大約 97% 的勒索病毒和網路釣魚都能在網站和電子郵件閘道端攔截。過了閘道之後,則可透過行為監控、應用程式控管及漏洞防護來保護端點。此外,還可藉由流量掃瞄、橫向移動防範技術以及惡意程式沙盒模擬分析來保護網路。同時,在網路防護之上還可以再多加一層網站伺服器防護來保護伺服器。

伺服器是網路犯罪集團的終極目標,歹徒經常利用伺服器的組態設定錯誤、軟體漏洞,或是失竊的使用者帳號密碼、中間人攻擊以及橫向移動技巧來入侵伺服器。歹徒一旦進入伺服器,就能讀取、篡改或匯出各種企業資料,包括:業務、財務或客戶資料。

人,是最大的資安漏洞

企業除了需要資安防護之外,還應防範變臉詐騙和勒索病毒等專門利用人為疏失的詐騙。員工在不敢質疑或違背上級命令的情況下,很容易被騙點選惡意的連結、開啟受感染的附件檔案、將大筆款項匯入歹徒戶頭。因此員工教育很重要,但企業的資安作業卻經常忽略這一環。資安教育應該列入新進員工訓練項目之一,此外,也可藉由滲透測試來對員工進行網路釣魚測驗。企業內應該建立起資安文化,所有員工都應了解自己在歹徒詐騙過程當中所扮演的角色。

當企業在考慮該採購什麼樣的防護時,千萬別被一時的風潮所迷惑。記住,資安防護最重要的還是穩扎穩打,切勿聽信一時的噱頭。資安防護沒有萬靈丹,企業需要一套全面、多層式的方法來降低變臉詐騙、商業流程入侵以及其他精密攻擊的風險,防範可能的災難。

編按:原文發表於2017 年 3 月 8 日, 作者 Raimund Genes 不幸於2017 年 3 月 24 日驟逝

請參考:趨勢科技 CEO 陳怡樺撰文之緬懷我的朋友 Raimund Genes