一封信騙走一棟房子!本部落格先前提到的案例指出變臉詐騙 (BEC) 竟讓受害者匯出 531,981 美元 (約 1,637 萬台幣) 。至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。然而一旦掌握了大型資料外洩事件的更多詳細資訊之後 (比如: 2010 至 2014 年間,網路犯罪集團專門鎖定 LinkedIn 個人檔案當中含有「Esq.」(律師) 尊稱的使用者,使得多家法律事務所遭到駭客入侵; 2014 年Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。),新一代的變臉詐騙將可能深入企業基層人員,比如假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。
趨勢科技的 2019 年資安預測報告「映對未來:對抗無所不在的持續性威脅」指出未來變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊數量將持續攀升:「變臉詐騙的對象將轉向比現在低兩階的員工」。該報告指出:
| 變臉詐騙 (Business Email Compromise,簡稱 BEC) 依然是歹徒向企業詐財非常強大且獲利豐厚的犯罪手法。我們相信,由於企業 CXX 高層主管遭到變臉詐騙的新聞經常在媒體上曝光,因此,網路犯罪集團未來將降低其攻擊對象的層級。例如,網路犯罪集團可能會轉而攻擊 CxO 的秘書、助理,或是財務部門總監、經理之類的職務。 |
然而,這類風險很可能比預測的更高。
2014 年爆發了多起超大型資料外洩事件。Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。犯罪集團掌握了這麼多的身分資料,等於挖到了一大筆寶藏,進而更容易描繪出多數大型企業的組織架構。這些資料提供了大量且通用格式的身分資訊,讓犯罪集團很容易套用大數據分析。
從 Yahoo 和 Starwood 外洩的資料當中,犯罪集團能分析出哪些網際網路使用者經常旅行。透過旅行者的個人檔案,就能知道哪些使用者擁有公司電子郵件帳戶,以及他們任職於哪家公司。而 Facebook 的資料則能讓犯罪集團分析出某家公司員工彼此之間的社交關係。若再配合 LinkedIn 的付費訂閱服務,網路犯罪集團就能詳細掌握企業的組織架構、上下級關係以及升遷路徑。。
至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。然而一旦掌握了 2014 年大型資料外洩事件的更多詳細資訊之後,新一代的變臉詐騙將可能假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。此時,IT 人員或系統管理員將收到一封類似如下的郵件:
| 嗨 Ted, 我的團隊成員 Ffloyd Farkle 已突然離職,另謀高就,其職務將由 Joseph Needham 接手。但由於 Ffloyd 之前是我們這邊的系統管理員,他一離職,變得沒人能幫我修改團隊成員的權限。可否麻煩你幫我設定讓 Joseph (員工編號 123456) 擁有跟 Ffloyd 之前一樣的管理權限?申請表我已送出,但流程的處理速度似乎有點慢,而這一季眼看著就要結束。還麻煩幫忙一下,謝謝你。 Chuck Itall |
在這範例當中,Ffloyd 確實是分公司的系統管理員,但他並未真的離職。Chuck Itall 也是貨真價實的分公司主管,只是他的帳號已遭駭客暗中入侵。他目前正在出差,且未來一兩天內將聯絡不上。Joseph 也是一位正牌員工,只是他的帳號也遭到駭客入侵,但他剛好也不在公司 (從他的 Facebook 貼文來看應該是正在渡假)。而 Ted 則是總公司 IT 部門的系統管理員。
Ted 面臨了一項難題,他不曉得是否該答應對方的緊急要求並且讓申請表的流程跑完,或是忽略這項緊急要求並引來分公司主管 Chuck 的一番怒火。若您是 Ted,您會答應對方的要求嗎?
繼續閱讀
