與其他網路犯罪計劃不同,要防禦商務電子郵件入侵可能特別有困難度。攻擊者通常只對「寄件者」和「回覆」地址動手腳,並將主旨限制在幾個字,以避免引起懷疑並增加急迫性。換句話說,郵件本身不會在本文出現典型的惡意內容(惡意附件或網址)。這意味著傳統安全解決方案根本不會加以刪除。
收到這種信件的員工也要如何有效地阻止BEC詐騙?其實很簡單…
假冒執行長(CEO)詐騙郵件鎖定醫療機構
上個月一連串利用假冒執行長騙局的變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊了美國17家、英國10家和加拿大8家的醫療機構。這些機構包括了一般醫院、教學醫院,專業照護和私人診所。即便是製藥公司也不能免於BEC詐騙,因為英國一家和加拿大兩家的製藥公司也成為目標。
假冒執行長詐騙(CEO fraud)是BEC商務電子郵件詐騙的一種,透過假冒執行長或其他高階主管的電子郵件帳號來對管理公司匯款的負責人(財務長、財務總監或會計)發送詐欺性匯款請求。不知情的員工因為誤信這是個正常的請求而將資金轉帳到網路犯罪分子所控制的銀行帳戶(每次事件的平均金額是14萬美元)。
看起來像是來自執行長或高階主管的來信, 使用與目標醫療機構非常相似的網域名稱
趨勢科技發現針對醫療機構的攻擊活動主要使用兩種技術。
- 第一種是假造寄件者地址讓它看起來像是來自執行長或高階主管的電子郵件,而回覆地址則使用詐騙分子的電子郵件地址。
- 第二種技術是利用相似的網域名稱,詐騙分子使用跟目標醫療機構非常相似的網域名稱。這可以讓電子郵件地址只有一個字元的不同。詐騙分子接著製作簡單而無害的主旨,通常包含以下字詞:
- 非常緊急
- 付款到期
- 緊急付款
幾個國家保健署(NHS)的機構也被觀察到成為這些攻擊的目標,使用顯示成<醫院名稱>-nhs.co的模仿網域而非nhs.uk。偵察顯示這些假冒執行長詐騙背後的惡意分子可以輕易地利用公開來源資訊(OSINT)來針對這些機構 – 從公開的組織圖來收集公司內部職位。
攻擊者通常只對「寄件者」和「回覆」地址動手腳,郵件本身不會出現惡意附件或網址
與其他網路犯罪計劃不同,要防禦商務電子郵件入侵可能特別有困難度。根據針對醫療機構的電子郵件,攻擊者通常只對「寄件者」和「回覆」地址動手腳,並將主旨限制在幾個字,以避免引起懷疑並增加急迫性。換句話說,郵件本身不會在本文出現典型的惡意內容(惡意附件或網址)。這意味著傳統安全解決方案根本不會加以刪除。 繼續閱讀
