Skip to main content

承包商來催款,才驚覺175萬美元都匯給假廠商!

BEC詐騙造成俄亥俄州教會175萬美元的損失

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)持續危害了許多組織。根據美國聯邦調查局的報告,僅在2018一年就讓企業損失了12億美元。而BEC詐騙也正在從傳統企業受害者擴展到了非營利組織與宗教團體,最新的一起案例就跟教會有關。

變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱BEC)持續危害了許多組織。根據美國聯邦調查局的報告,僅在2018一年就讓企業損失了12億美元。而BEC詐騙也正在從傳統企業受害者擴展到了非營利組織與宗教團體,最新的一起案例就跟教會有關。

在4月17日,俄亥俄州布倫瑞克的聖安布羅斯天主教會發現自己成為BEC詐騙的受害者。他們接到承包商Marous Brothers工程公司因為修建計畫未付款帳單的聯繫後發現。這些帳單總額為175萬美元 – 與 BEC 詐騙取走的金額相同。

根據美國聯邦調查局的說法,聖安布羅斯教會被騙以為Marous Brothers變更了銀行帳戶。駭客入侵了兩名員工的電子郵件帳號。接著利用這些帳號來欺騙教會的其他人將付款匯到詐騙份子的銀行帳戶。教會並不知道自己一直將付款送到詐騙份子使用的銀行帳戶。由於原收款者(Marous Brothers)沒有收到付款,工程公司不得不詢問教會為何拖欠付款。

聖安布羅斯教會在寄送給教區居民的信中說明只有電子郵件帳號遭到入侵,其他資料(如教堂財務資訊和教區居民資料庫)仍然安全。信中還提到教會會檢視安全策略和系統來防止未來發生類似的事件。

BEC詐騙不只針對企業

BEC詐騙(也被稱為電子郵件帳號入侵或稱EAC)是詐騙份子用來快速賺錢的常見騙局。在多數情況下並不需要太多技術能力,因為它的重點在於欺騙人們將要給特定對象的錢匯到詐騙份子控制的銀行帳戶。

不管怎麼稱呼,BEC詐騙並不只局限於企業。只要有利可圖,各種形式或大小的組織都可能成為詐騙者的目標。而且這些組織有許多只對網路和系統部署最低限度的安全防護,使得問題變得更加嚴重。而且現實情況是,必須依靠組織成員來確保安全性。

以下是一些有助於防範BEC詐騙攻擊的最佳實作:

  • 員工對任何資金轉移的要求都必須經過確認,最好與相關人員確認是否真的有發送請求。
  • 要仔細檢查電子郵件是否存在任何危險警訊。雖然大多數BEC詐騙都會盡可能地讓郵件內容具有信服力,但通常還會出現顯示電子郵件不正常的跡象
  • 組織要鼓勵員工為網路帳號使用更強大的帳密和身份認證方式。例如可以的話使用雙因子身份認證(2FA),來提供密碼以外的多一層保護。

除了以上這些做法,企業還可以利用先進的技術來保護自己,這些技術可以防止詐騙份子利用電子郵件攻擊竊取大量資金。趨勢科技的電子郵件安全產品使用人工智慧(AI)與機器學習(Machine learning,ML)來抵禦BEC詐騙。這種防BEC詐騙技術結合了安全專家知識與自我學習數學模型,透過檢視行為因素及電子郵件意圖來識別偽造的電子郵件。

趨勢科技的解決方案還採用了寫作風格DNA技術,利用人工智慧來根據過去郵件正確安全地識別使用者的寫作風格DNA,並將其與可疑偽造郵件進行比對。Cloud App SecurityScanMail Suite for Microsoft Exchange解決方案利用寫作風格DNA將可疑郵件的寫作風格與假定寄件者進行交叉比對。使用了7,000種寫作特徵作為模式,包括單字大小寫、一般句子長度以及標點符號的使用。

@原文出處:BEC Scammers Steal US$1.75 Million From an Ohio Church