【資安周報第75期】全美網路犯罪年損13億美元，變臉詐騙最多

美國FBI所屬的網路犯罪投訴中心（Internet Crime Complaint Center，簡稱IC3）日前公布一份美國2016年的網路犯罪報告，當年度投訴的網路犯罪案件將近29.9萬件，比起2015年網路犯罪案件回報數量為28.8萬件，數量相去看似不遠，但2016年因為網路犯罪導致損失的金額高達13.3億美元（約臺幣400億元），比2015年網路犯罪損失金額10.7億美元，成長24.3％。

而根據IC3的統計資訊，2016年最嚴重的網路犯罪手法前三名分別是，變臉詐騙（Business Email Compromise，簡稱BEC）、勒索軟體危害，以及技術支援詐騙（Tech Support Fraud），其中以變臉詐騙案件數量雖然只占全年度的4％，但帶來的損失金額卻最高，占全年度網路犯罪損失將近3成。

變臉詐騙手法持續演進，萬件投訴損失金額超過3億美元

根據IC3所統計回報的網路犯罪資訊，2016年網路犯罪的報案率，其實只有15％的受害者有向執法機關報案，而這些受害者報案後，執法機關也會協助受害者，依序和銀行、信用卡公司等相關單位進一步聯繫，先封鎖並禁止相關帳戶有任何的活動，以避免造成更多的損失。

回頭看2016年最常見的網路犯罪手法，排名第一名的就是變臉詐騙案件，也有一說是商務電子郵件入侵案件。這種必臉詐騙經常發生在一些需要與國外有業務往來的企業，因為需要經常匯款給外部客戶或者是供應商，只要負責匯款人員的電子郵件遭到駭客入侵，就有機會竄改換款帳號，造成企業重大損失。

IC3表示，這種變臉詐騙有些時候會利用入侵電子郵件系統帳號（Email Account Compromise，EAC）的手法，鎖定企業內具有匯款權限的特定當事人，駭客可以透過偽造與常見匯款郵件相似的詐騙郵件，讓具有匯款權限的使用者信以為真。

因為這類的詐騙事件數量逐年增加，FBI甚至從2017年開始，將變臉詐騙的手法獨立出來，並開始後續的追蹤。而根據IC3收到的變臉詐騙投訴案件，2016年高達12,005件，占全年度網路犯罪案件的4％；但是，變臉詐騙帶來的損失金額高達3.6億美元，占全年度網路犯罪金額的27.1％。

因為電匯是許多有外國客戶貿易往來企業常用的匯款手法，所以這樣的變臉詐騙，基本上不會變更原本使用者使用電匯的匯款習慣，避免啟人疑竇。而根據FBI的調查顯示，這種變臉詐騙手法最早可以追溯到2013年並且經過一些亞洲國家完成轉帳，最早期的變臉詐騙郵件，都是駭客透過偽冒執行長或者是財務長郵件，要求相關員工在相信該封郵件是公司高階主管寄送的前提下，匯款到特定的假帳號，導致企業蒙受損失。

而這樣的詐騙手法也持續變形進化，到2014年這些受害者則回報FBI，駭客連私人郵件都攻陷，此時，駭客就會利用私人信箱中的聯絡人清單，發送多個詐騙性的匯款信件，有人因此不察，直接匯款導致損失。

到了2015年，變臉詐騙則開始類似臺灣的電話詐騙內容，會有冒用律師或事務所之類的名號，要求企業進行一些私下匯款的行為。這類的變臉詐騙不一定都要求匯款，再2016年的變臉詐騙手法則演進到，透過合法的企業電子郵件帳號要求使用者的個人身分資料（PII）或者是員工的報稅資料表格（Wage and Tax Statement forms）等。這類變臉詐騙可以透過各種手法、郵件標題欺騙使用者，但有很多情況往往是因為美國企業雇用非法勞工，需要透過地下管道匯兌，才使得這樣的變臉詐騙越來越普遍。

若參考趨勢科技對於變臉詐騙的研究，這類變臉詐騙攻擊已經遍及全球92個國家，每一起變臉詐騙的攻擊平均損失超過14萬美元，前五名企業遭到變臉詐騙攻擊比例最多的國家分別是美國（37.55％）、英國（9.61％）、香港（2.85％）、日本（2.75％）和印度（2.39％）。

勒索軟體與技術支援詐騙，兩者投訴損失金額達一億美元

根據IC3的統計，2016年排名第二嚴重的網路犯罪其實就是讓許多人聞之色變的勒索軟體，投訴的案件數量將近三千起（2,673起），帶來的損失約為240萬美元。進一步分析這些勒索軟體如何作用，可以發現，這些勒索軟體往往都是透過鎖定人或技術流程的弱點才可以成功，像是，將惡意軟體透過網路釣魚郵件或者是以遠端桌面存取（RDP）的方式，感染使用者內部網路，並針對這些受感染電腦內的機敏資料進行加密。

至於排名第三名的技術支援詐騙，主要是利用人性的弱點，在電子郵件的標題以軟體更新等內容，類似資安公司、軟體公司甚至是有線電視業者等，都已可以提供技術支援的方式，吸引使用者讀取郵件，最終的目的就是要讓使用者同意，允許這些冒名提供技術支援的人，可以遠端登入使用者的電腦進而登入使用者的網銀帳號。

這樣的行為往往出現在使用者因為不了解一些網路服務的技術細節，冒名的駭客在聯繫過程中，往往會先透過電話聯繫，了解使用者的需求後，要求對方透過一些步驟允許使用者開放遠端裝置連線，冒名駭客就可以實際操控使用者的電腦。IC3表示，這類的案例在2016年接收到的投訴案件數量超過一萬起，但是損失金額相對其他網路犯罪並不高，約為780萬美金。勒索軟體和技術支援詐騙兩者損失金額加起來，在2016年大約一億美元，相較排名第一名的變臉詐騙帶來3.6億美元的高額損失，兩者相差不可以道里計。

IC3每天平均接收到的投訴案件超過800起，超過60歲以上的年齡層是最主要受到網路詐騙的一群人，2016年有5.5萬人受騙，損失金額高達3.39億美元，平均每個人受騙損失將近6千2百元（約新臺幣19萬元）；其次受害最深的年齡層是30～39歲，受害人數為5.47萬人；但損失金額第二高的年齡層則是50～59歲，損失金額為2.98億元，平均每個人損失金額超過6千美元（約新臺幣18.8萬元）。

妨害電腦使用是臺灣網路犯罪中，破案率最低的類別

另外，臺灣內政部警政署也同樣於日前公布電腦網路犯罪概況，2016年臺灣電腦網路犯罪案件數量為1.33萬件，比2015年犯罪案件數量成長5.5％。不過，這幾年臺灣網路犯罪案件數量最多的前三類，依序幾乎都是詐欺、妨害電腦使用以及侵害智慧財產權，差別在於占比些微差異。

若以2016年網路犯罪案件中，占比最高的仍是詐欺（33.9％），其次為妨害電腦使用（16.9％）和侵害智慧財產權（16.9％），其中，妨害電腦使用的案件因為經常涉及第三方國家的網路跳板行為，導致來源追查不易，破案率不到二成外，其餘的電腦網路犯罪的破案率平均為七成二。