隨著企業和員工準備繳稅申報,網路犯罪分子也同樣地加緊努力來竊取所需資訊,一年比一年更加精明。
報稅期間 BEC 變臉詐騙恐出現另一波高峰
變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)詐騙事件自2016年以來就不斷地爬升,報稅期間也讓這類事件出現另一波高峰,讓美國國稅局(IRS)對企業們發出這些高危險性攻擊的警告。
BEC詐騙的手法很簡單,都圍繞在一件事上 – 入侵商業電子郵件帳戶好進行網路釣魚詐騙,將未經授權的資金轉到世界各地的人頭帳戶。不過,執行這種特殊騙局的網路犯罪分子在攻擊目標前必須先進行大量的研究。需要對目標公司、員工運作情況及員工人際關係有深刻的了解後才能有效地達到預期的效果。
對於針對退稅的 BEC 詐騙,詐騙分子偽裝成執行長,向財務或人力資源部門索取員工薪資單等資料。一旦成功,這些資料就會被攻擊者用來從預設目標那竊取退稅。
延伸閱讀:趨勢科技最近發表了一份西非網路犯罪分子大量利用這類威脅的報告。
兩個關鍵,識破針對退稅的 BEC 變臉詐騙
要對抗此類威脅,公司內所有能取得員工資料的人員都該認識到BEC詐騙威脅,並且提醒他們這類攻擊風險會在報稅期間增加。此外,也要提醒員工這類網路犯罪分子想要的資料絕不能透過電子郵件寄送,除非經過加密。
為了協助你和你的員工了解這類詐騙的危險,美國司法部、國稅局(IRS )和聯邦調查局(FBI)提供了確認為詐騙的電子郵件內容範例。以下是一些需要注意的地方:
- 要求不要聯絡高階主管確認。
- 包含以下說詞的電子郵件:
- “請寄給我公司內所有全職員工的2016 W-2(PDF)和收入摘要,以便快速檢查。”
- “請寄給我包含詳細資訊的更新員工名單,包括姓名、社會安全號碼、出生日期、家庭住址和工資等。”
- “我希望你寄給我2016員工工資和報稅明細的W-2副本,我需要PDF檔案,你可以用附加檔案寄。請盡快準備這份清單並寄送給我。”
- 聲稱來自國稅局或其他報稅公司的電子郵件。國稅局已經說明自己不會主動寄送電子郵件、簡訊或用社群媒體來討論個人稅務問題。因此,如果你公司的員工接到自稱為國稅局員工的電子郵件或電話,並且索取金錢,請直接諮詢國稅局。
- 企業應該要使用能夠識別和封鎖社交工程郵件(包括沒有夾帶附件檔和內嵌連結的版本)的電子郵件安全解決方案。稅務詐騙電子郵件通常會要求員工寄送員工個人識別資訊(PII)。
其他防止 BEC 詐騙的選項有:
- 趨勢科技Interscan Messaging Security Virtual Appliance或Hosted Email Security – 將電子郵件內容元件與新式的進階社交工程防護技術進行關聯來偵測和標記魚叉式釣魚和社交工程電子郵件,能夠在進入員工信箱前就先加以封鎖。
- 趨勢科技的整合式資料外洩防護模組(iDLP) – 趨勢科技電子郵件解決方案支援DLP,可以偵測和封鎖透過電子郵件傳送的個人識別資訊(PII)。
了解到這些威脅使用電子郵件作為攻擊媒介,企業應該要加強員工教育訓練,並且聰明地投資在進階電子郵件防護。有了這些功能,BEC詐騙的威脅就可以大大降低。
@原文出處:Why Scammers Want Your Tax Returns (and how to stop them) 作者:Jon Clay