經營企業最主要的目的就是「創造利潤」，說白一點就是要賺錢，雖然過程中可能面對市場變化與經營不善，但如果是因為詐騙而造成損失，應該很不甘心。

面對商業電子郵件詐騙（BEC）這樣的威脅，由於是企業本身疏於資安保護，如何「預防」交易匯款被騙走，就是企業最關心的事情。

因為BEC詐騙已經為企業帶來鉅額損失，我們需要有更多的警惕，至於該如何預防，如何強化電子郵件安全，就是一大議題。這次，我們也詢問了多家郵件安全與資安廠商，並整理出現有應對BEC詐騙各環節的作法，以及能利用的防護技術，讓企業能夠多些因應之道。

養成安全的郵件使用習慣

電子郵件已經是普遍企業傳遞訊息不可或缺的工具，尤其是與海外業者交易聯繫的重要管道。

而BEC詐騙的最大特點是，都是利用普遍人們對於電子郵件太過信任的習慣，沒有想到要去進一步確認寄件者，是否就是當事人，而誤信更改匯款帳號與緊急電匯的內容。

一般企業該如何防範呢？由於公司本身疏於資安防護，我們先從基本的資安防護面向來看，供企業作為因應參考。

 不要用免費信箱與共用帳號 

盡量不要使用免費網路信件空間，也千萬不要共用郵件帳號。要知道，這容易成為網路犯罪分子鎖定的目標。

有企業可能認為，他們連公司網站都沒有，怎麼會成為目標，其實在參展的各式交際與交換名片過程中，就有機會被駭客蒐集到資料而鎖定，特別是當他們發現，有使用免費信箱與共用信箱的情形時，很有可能判斷該公司是容易下手的目標，因為資安防護薄弱。

對於一些傳統的中小企業而言，老闆、會計與業務人員，可能都沒有這方面的概念，也欠缺專業IT人員，即便生意規模可能已經作的很大。也許，當大家在接觸到這樣的企業時，可以適時做出一些提醒，共同提升防護意識。

 做好基本密碼安全與端點防護 

由於BEC詐騙在早期發生階段，駭客也會監看電子郵件中的財務往來細節。因此在郵件帳號與登入方面，像是密碼設定不能太過簡單，避免輕易遭到暴力破解，同時也要做好基本端點防護，減少駭客入侵、木馬程式植入的機會，防止電郵詐騙案的發生。

 培養員工資訊安全意識 

面對各式釣魚信件、詐騙信件，企業員工只要稍不注意，就可能一次造成鉅額的損失。因此，企業平時就需要培養員工正確的資訊安全觀念，尤其是交易負責人與財務相關經辦人員，他們是BEC詐騙的主要收件者對象。

特別是在回覆電子郵件時，也應留意收件者的E-mail 是否正確，像是來自甲的電子郵件，回覆時寄件者卻是乙，就是問題，但一般使用者可能並不知道會有這樣的情形。同時，使用者也應對竄改電子郵件帳號的假冒與混淆手法，有些概念，才比較容易發現異常。

透過郵件安全產品的進階防護功能，加強企業本身的資安保護

不過，對於一般使用者來說，要識破這類假冒的電子郵件，純粹用人眼來看出也很難，也還是會有疏忽，因此通常也會建議，強化強化電子郵件系統的使用安全性，搭配一些郵件安全防護產品或輔助功能，來避免這樣的狀況發生，或是幫助使用者過濾。

 應用郵件加密方式確保內容安全 

企業可要求員工對重要信件進行附檔加密，或是透過具有自動加密的郵件防護產品，將整封重要信件加密成ZIP、PDF，而收到信件的用戶，需搭配事前透過電話約定之密碼才能開啟。而若要運用這樣的功能，已經有一些郵件安全產品可以提供這樣的功能，例如臺灣本土廠商網擎。

 發送BEC測試信，提升員工資安意識 

當然，如果想要強化人員對於BEC詐騙的資安意識，也有對應的作法。像是臺灣本土郵件安全廠商基點表示，他們提供的郵件滲透測試服務，也可與企業承辦人員探討客製化、針對式攻擊的BEC模擬樣本。

例如：寄件人偽冒為該公司的總經理，收件人為該公司的財務人員，也就是測試信的受測對象。至於郵件主旨，可以是「歐盟新開帳戶及信用額度」，郵件本文則是「歐盟ＸＸ廠商要新開帳戶及信用額度，此事很急，今天下午2點前要辦妥，並署名總經理。」這種寄發測試信的方式，也能達到提升警覺性的效果，針對上當的使用者。

 可啟用專屬的BEC防護功能 

此外，近年不少郵件安全廠商，也很關注BEC詐騙的猖獗，開始在郵件防護相關產品中，加入BEC相關的防護功能。舉例來說，像是趨勢與Cisco的產品中就有相關設定選項，一旦系統偵測到有問題，系統預設動作會在郵件內文或標提前面加上警示字樣，能夠幫助使用者察覺到郵件異常，提醒使用者要進一步去確認。

臺灣郵件安全廠商中華數位同樣表示，現在他們的郵件過濾產品也加入智慧型詐騙郵件行為特徵檢測，並可針對匯款詐騙、冒名偽造網域社交郵件防禦等，同時不會因為白名單設定不正確而影響判別結果。同樣，也會有做出警示，企業管理者管理者只需要宣導收到類似信件警示，需做第二管道的確認，即可降低詐騙郵件入侵的風險。

而趨勢科技也提到一些他們在BEC防護的技術原理，針對BEC詐騙社交工程手法，可透過機器學習來做到更精準的判斷，從郵件行為與意圖來偵測與交叉分析，分析郵件標頭，還有像是這類社交工程信件內容有太多種寫法，透過龐大的樣本來學習分析，提升準確性。

 自行設定郵件管控原則 

一些郵件安全防護產品也有內寄外送的管控機制，使用者也能簡單設定一些條件，像是將取名與CEO名字相同的信，如果不是內部傳送的話，都要做一些特殊的處理，放到隔離區或警示。

 強化郵件帳號登入安全 

避免郵件帳密被盜遭入侵，也是避免身分遭冒用，以及郵件內容被監看的防護重點。

因此，在郵件帳號與登入安全上，企業也能強化相關防護的機制，特別像是一些企業內部如有開放員工，透過網頁郵件服務、行動郵件App來收發信，應考慮是否強化相關的身分驗證機制，像是搭配雙因素認證，例如，以個人智慧型手機作為驗證裝置，確保登入郵件服務的使用者是否為本人，多一道驗證程序。又或者是要有異地登入警示的機制，才不至於讓企業帳號被盜，卻無法立即察覺。

 採用郵件身分驗證等機制 

若企業對於郵件安全有更高的條件需求，也可以注意郵件產品能夠提供的SPF、DKIM與DMARC等郵件身分驗證機制，或是S/MIME、PKI等加密以及簽章技術，從而降低釣魚郵件及偽造郵件的發生，甚至防護郵件傳送過程中不會遭到竄改，只是，這類方法通常也要寄收件雙方都能配合，施行難度較高。

至於針對假冒網域的情況，除了使用者最好要認識竄改E-Mail的混淆手法，過去有些公司在註冊網域名稱時，為了怕有被冒用的可能性，其實就會將這些看起來很像的網域，預先註冊以防範，也是一種方法。

強化企業匯款確認流程，也是預防BEC詐騙的關鍵方法

 １　２　３　４　５