針對BEC詐騙這樣的攻擊,近期我們也看到一些電子郵件安全產品中,提供新的社交工程攻擊防護技術,像是內建了BEC的防護選項。藉由偵測與交叉分析,針對像是郵件標題、內文與遞送資訊等。(圖為趨勢Hosted Email Security產品介面)

經營企業最主要的目的就是「創造利潤」,說白一點就是要賺錢,雖然過程中可能面對市場變化與經營不善,但如果是因為詐騙而造成損失,應該很不甘心。

面對商業電子郵件詐騙(BEC)這樣的威脅,由於是企業本身疏於資安保護,如何「預防」交易匯款被騙走,就是企業最關心的事情。

因為BEC詐騙已經為企業帶來鉅額損失,我們需要有更多的警惕,至於該如何預防,如何強化電子郵件安全,就是一大議題。這次,我們也詢問了多家郵件安全與資安廠商,並整理出現有應對BEC詐騙各環節的作法,以及能利用的防護技術,讓企業能夠多些因應之道。

養成安全的郵件使用習慣

電子郵件已經是普遍企業傳遞訊息不可或缺的工具,尤其是與海外業者交易聯繫的重要管道。

而BEC詐騙的最大特點是,都是利用普遍人們對於電子郵件太過信任的習慣,沒有想到要去進一步確認寄件者,是否就是當事人,而誤信更改匯款帳號與緊急電匯的內容。

一般企業該如何防範呢?由於公司本身疏於資安防護,我們先從基本的資安防護面向來看,供企業作為因應參考。

 不要用免費信箱與共用帳號 

盡量不要使用免費網路信件空間,也千萬不要共用郵件帳號。要知道,這容易成為網路犯罪分子鎖定的目標。

有企業可能認為,他們連公司網站都沒有,怎麼會成為目標,其實在參展的各式交際與交換名片過程中,就有機會被駭客蒐集到資料而鎖定,特別是當他們發現,有使用免費信箱與共用信箱的情形時,很有可能判斷該公司是容易下手的目標,因為資安防護薄弱。

對於一些傳統的中小企業而言,老闆、會計與業務人員,可能都沒有這方面的概念,也欠缺專業IT人員,即便生意規模可能已經作的很大。也許,當大家在接觸到這樣的企業時,可以適時做出一些提醒,共同提升防護意識。

 做好基本密碼安全與端點防護 

由於BEC詐騙在早期發生階段,駭客也會監看電子郵件中的財務往來細節。因此在郵件帳號與登入方面,像是密碼設定不能太過簡單,避免輕易遭到暴力破解,同時也要做好基本端點防護,減少駭客入侵、木馬程式植入的機會,防止電郵詐騙案的發生。

 培養員工資訊安全意識 

面對各式釣魚信件、詐騙信件,企業員工只要稍不注意,就可能一次造成鉅額的損失。因此,企業平時就需要培養員工正確的資訊安全觀念,尤其是交易負責人與財務相關經辦人員,他們是BEC詐騙的主要收件者對象。

特別是在回覆電子郵件時,也應留意收件者的E-mail 是否正確,像是來自甲的電子郵件,回覆時寄件者卻是乙,就是問題,但一般使用者可能並不知道會有這樣的情形。同時,使用者也應對竄改電子郵件帳號的假冒與混淆手法,有些概念,才比較容易發現異常。

透過郵件安全產品的進階防護功能,加強企業本身的資安保護

不過,對於一般使用者來說,要識破這類假冒的電子郵件,純粹用人眼來看出也很難,也還是會有疏忽,因此通常也會建議,強化強化電子郵件系統的使用安全性,搭配一些郵件安全防護產品或輔助功能,來避免這樣的狀況發生,或是幫助使用者過濾。

 應用郵件加密方式確保內容安全 

企業可要求員工對重要信件進行附檔加密,或是透過具有自動加密的郵件防護產品,將整封重要信件加密成ZIP、PDF,而收到信件的用戶,需搭配事前透過電話約定之密碼才能開啟。而若要運用這樣的功能,已經有一些郵件安全產品可以提供這樣的功能,例如臺灣本土廠商網擎。

 發送BEC測試信,提升員工資安意識 

當然,如果想要強化人員對於BEC詐騙的資安意識,也有對應的作法。像是臺灣本土郵件安全廠商基點表示,他們提供的郵件滲透測試服務,也可與企業承辦人員探討客製化、針對式攻擊的BEC模擬樣本。

例如:寄件人偽冒為該公司的總經理,收件人為該公司的財務人員,也就是測試信的受測對象。至於郵件主旨,可以是「歐盟新開帳戶及信用額度」,郵件本文則是「歐盟XX廠商要新開帳戶及信用額度,此事很急,今天下午2點前要辦妥,並署名總經理。」這種寄發測試信的方式,也能達到提升警覺性的效果,針對上當的使用者。

 可啟用專屬的BEC防護功能 

此外,近年不少郵件安全廠商,也很關注BEC詐騙的猖獗,開始在郵件防護相關產品中,加入BEC相關的防護功能。舉例來說,像是趨勢與Cisco的產品中就有相關設定選項,一旦系統偵測到有問題,系統預設動作會在郵件內文或標提前面加上警示字樣,能夠幫助使用者察覺到郵件異常,提醒使用者要進一步去確認。

臺灣郵件安全廠商中華數位同樣表示,現在他們的郵件過濾產品也加入智慧型詐騙郵件行為特徵檢測,並可針對匯款詐騙、冒名偽造網域社交郵件防禦等,同時不會因為白名單設定不正確而影響判別結果。同樣,也會有做出警示,企業管理者管理者只需要宣導收到類似信件警示,需做第二管道的確認,即可降低詐騙郵件入侵的風險。

而趨勢科技也提到一些他們在BEC防護的技術原理,針對BEC詐騙社交工程手法,可透過機器學習來做到更精準的判斷,從郵件行為與意圖來偵測與交叉分析,分析郵件標頭,還有像是這類社交工程信件內容有太多種寫法,透過龐大的樣本來學習分析,提升準確性。

 自行設定郵件管控原則 

一些郵件安全防護產品也有內寄外送的管控機制,使用者也能簡單設定一些條件,像是將取名與CEO名字相同的信,如果不是內部傳送的話,都要做一些特殊的處理,放到隔離區或警示。

 強化郵件帳號登入安全 

避免郵件帳密被盜遭入侵,也是避免身分遭冒用,以及郵件內容被監看的防護重點。

因此,在郵件帳號與登入安全上,企業也能強化相關防護的機制,特別像是一些企業內部如有開放員工,透過網頁郵件服務、行動郵件App來收發信,應考慮是否強化相關的身分驗證機制,像是搭配雙因素認證,例如,以個人智慧型手機作為驗證裝置,確保登入郵件服務的使用者是否為本人,多一道驗證程序。又或者是要有異地登入警示的機制,才不至於讓企業帳號被盜,卻無法立即察覺。

 採用郵件身分驗證等機制 

若企業對於郵件安全有更高的條件需求,也可以注意郵件產品能夠提供的SPF、DKIM與DMARC等郵件身分驗證機制,或是S/MIME、PKI等加密以及簽章技術,從而降低釣魚郵件及偽造郵件的發生,甚至防護郵件傳送過程中不會遭到竄改,只是,這類方法通常也要寄收件雙方都能配合,施行難度較高。

至於針對假冒網域的情況,除了使用者最好要認識竄改E-Mail的混淆手法,過去有些公司在註冊網域名稱時,為了怕有被冒用的可能性,其實就會將這些看起來很像的網域,預先註冊以防範,也是一種方法。

強化企業匯款確認流程,也是預防BEC詐騙的關鍵方法

從BEC詐騙事件來看,都是對於電子郵件太過信任,誤信更改匯款帳號與緊急電匯的內容,匯款方不察或基於信任未再向請款方求證,導致匯款至詐騙帳號,使企業可能蒙受財務損失,且雙方也容易衍生交易糾紛。

若從商業流程的角度來看,由於公司本身可能疏於匯款確認,應加強公司內部商業流程的內控機制。

如以近期的BEC詐騙情境來看,簡單的作法就是,看到「客戶變更匯款帳戶」、「CEO通知緊急電匯」的郵件內容,一定要以第二管道聯繫,像是立即電話確認,增加交易的安全性。

或是請執行長與財務主管能提供一些匯款帳號清單,並建立確認帳號的標準流程。讓不在清單內的帳號,以及變更匯款與緊急電匯,都能有多一道審核程序。

     5

熱門新聞

Advertisement