商業流程入侵 - 資安趨勢部落格

前蘇聯國家的銀行遭受商業流程入侵（BPC）攻擊,損失約4,000萬美元

2017 年 10 月 19 日2017 年 10 月 18 日趨勢科技 TrendMicro

不管是大型銀行還是中小企業都可能會遭受商業流程入侵（BPC）攻擊。不過還是有辦法防範或減輕它所造成的影響….

金融機構是商業流程入侵（BPC）攻擊的主要目標之一，就以2016年的孟加拉銀行事件為例，這起利用銀行內部流程的複雜性攻擊導致了8,100萬美元被竊走。而在最近的另外一起事件中，商業流程入侵（BPC）攻擊了多家前蘇聯國家的銀行，造成約4,000萬美元的損失。

商業流程入侵（BPC）攻擊會惡意操弄正常的內部流程。在這些最新的攻擊中，攻擊者結合了現實中的詐騙以及網路攻擊。第一部分是利用了透支額度（OD），這指的是金融簽帳卡允許使用者使用多少超出帳戶實際存款的金額。在這起案例中，攻擊者派出許多人申辦有金融簽帳卡的銀行帳戶。然後將卡片送到位於歐洲各國的惡意份子手上。

攻擊者還利用網路釣魚活動來針對銀行員工，目的是要在他們的系統上安裝惡意軟體（趨勢科技偵測為TROJ_MBRWIPE.B）。這種惡意軟體成為攻擊者進入銀行網路和系統的後門。一旦進入，攻擊者會使用銀行的VPN憑證來連上第三方的支付處理服務網路，接著植入各種惡意軟體，包括能夠連上控制卡片管理基礎設施的監控工具。同時還會安裝其他軟體如合法的監控工具Mipko來取得螢幕截圖和按鍵側錄等等。

這場精細策劃並實行的搶劫成為了商業流程入侵（BPC）攻擊的完美範例。這些攻擊是對企業來說日益嚴重的問題，根據2013年至2015年的資料，企業已經因為商業流程入侵（BPC）攻擊而損失至少31億美元 – 這數字在今日可能會更高。

五招防止商業流程入侵（BPC）攻擊

不管是大型銀行還是中小企業都可能會遭受商業流程入侵（BPC）攻擊。不過還是有辦法防範或減輕它所造成的影響：繼續閱讀

企業資安: 一次搞懂 BPC、BEC及 Targeted attack

2017 年 08 月 02 日2017 年 07 月 24 日趨勢科技 TrendMicro

商業流程入侵(BPC)、商務電子郵件入侵(BEC)及目標式攻擊：有什麼差異？

2015 年，在攻擊者取得 SWIFT 金融網路的資金交易代碼之後，一家厄瓜多銀行損失 1,200 萬美元。隔年，另有一起牽涉 SWIFT 的網路洗劫案例，造成孟加拉中央銀行損失 8,100 萬美元。同樣在 2016 年，一家越南銀行成功防止一起類似的攻擊事件，阻止攻擊者移轉 113 萬美元到攻擊者帳戶中。

我們將這一系列新的攻擊分類為商業流程入侵 (BPC)，主謀偷偷修改關鍵流程及系統，以進行看似正常卻未經授權的操作。那麼 BPC 是如何運作？BPC 的獨特之處在哪，與商務電子郵件入侵或稱為變臉詐騙 (BEC) 或目標式攻擊有何相似之處？企業又要如何找出 BPC？

BEC變臉詐騙的五種類型

BPC 及 BEC 擁有同樣的最終目標 (即經濟利益)，但兩者僅有這點相似。

BEC 是極度仰賴社交工程（social engineering ）策略的詐欺手段，誘騙受害者移轉資金到詐欺犯名下帳戶。在 BEC 中，攻擊者通常假扮成與金融或電匯付款業務相關的執行長或任何高階主管。根據 FBI 指出，BEC 有下列五種類型：

偽造發票收據
執行長詐欺
帳戶入侵
偽裝律師
資料竊取

[請參閱：商務電子郵件入侵(變臉詐騙)是如何運作？]

BPC的三種類型

另一方面，BPC 則是更為複雜的攻擊，其中牽涉修改程序，產生與原先預期的不同結果。這往往能讓攻擊者獲得極高的經濟利益。根據趨勢科技所觀察到的案例，BPC 有下列三種類型：

聲東擊西
冒用身分
五鬼搬運

[請參閱：商業流程入侵(BPC)的種類及個別案例]

鎖定目標攻擊及 BPC: 都能無限期留在網路中，而不被偵測到

針對性攻擊/鎖定目標攻擊(Targeted attack )及 BPC 間僅有一線之隔，兩者皆使用相同工具、技術及元件，且能在不受偵測的狀況下，滲透並留存於目標網路當中。兩者都能無限期留在網路中，而不被偵測到。然而，鎖定目標式攻擊的主要目的是滲透到公司中最重要的資產 (商業機密、智慧財產等)，以進行商業間諜或破壞行為。另一方面，BPC 的詐欺犯主要是為取得不法利益。BPC 可能也會使用與鎖定目標式攻擊相同的手法，如情報收集、橫向移動，到維護和資料滲透等。

圖 1BPC、BEC 及目標式攻擊之間的差異與相似之處 — 圖 1BPC、BEC 及鎖定目標式攻擊之間的差異與相似之處

繼續閱讀

什麼是商業流程入侵 (BPC)?

2017 年 07 月 31 日2017 年 07 月 31 日趨勢科技 TrendMicro

所謂的商業流程入侵 (BPC) 是指駭客暗中對企業的電子化流程或執行這類流程的系統動手腳，藉此獲取龐大利潤的一種攻擊手法。由於這類攻擊通常相當隱密，因此企業不容易察覺或發現流程有何異樣，因為遭到入侵的流程依然能夠正常執行，只是結果與預期不同。

BPC 攻擊最大的特點就是歹徒對其攻擊目標的內部網路和系統以及該機構所採用的標準非常熟悉。因此才能駭入、滲透、挾持其商業流程，例如：會計、採購、製造、出納及配送等流程。

一個 BPC 攻擊的近期案例就是孟加拉中央銀行遭到網路洗劫。該起攻擊造成了高達 8,100 萬美元的損失，而且歹徒顯然非常熟悉 SWIFT 金融平台的運作，並且知道採用這套平台的銀行會有什麼樣的弱點。歹徒一旦入侵了孟加拉中央銀行的電腦網路，就能查出其內部的匯款程序，進而掌握該銀行的憑證來執行非法的匯款交易。

BPC 攻擊的目標還不只金融交易。2013 年，比利時安特衛普港 (Antwerp Seaport) 的貨櫃管理系統即遭駭客入侵以走私古柯鹼和海洛因，並且成功越過了海關。

BPC 所使用的工具和技巧，與針對性攻擊大同小異，只不過其目的不在竊取敏感資料，而是藉由竄改受害者的商業流程來詐取錢財。BPC 有點類似所謂的「變臉詐騙」(亦稱「商務電子郵件入侵」，簡稱 BEC)，因為兩者都會攔截正常的商業交易，只不過 BEC 駭客比較仰賴社交工程技巧，而不是直接篡改商業流程來達成目的。