自2019年底到2020年下旬,BEC電郵詐騙事件不斷攀升。根據郵件安全廠商Abnormal Security發布的2020年第3季調查報告,第3季比起上一季的攻擊事件多出15%。圖片來源/Abnormal Security

隨著疫情的蔓延,居家辦公變成常態,電子郵件是極為重要的溝通管道之一,駭客也盯上這樣的情勢,從中進行詐騙。在2020年被揭露的商業電子郵件詐騙(BEC)攻擊事件中,不少駭客刻意採取幾可亂真的手法,讓收信者難以察覺異狀而上當。

這種精心策畫攻擊策略,也導致一旦攻擊成功,得手的利益相當可觀,受害者察覺被騙往往為時已晚,金錢損失難以追回。回顧2020年,5月有數件此類詐騙事件被公布,包含了駭客冒名向臺灣銀行洛杉磯分行轉帳得逞,以及私募基金被騙的情況,然而直到受害者察覺不對勁並展開調查,錢已經被轉走數星期甚至數個月。

針對BEC攻擊的態勢,郵件安全業者Abnormal Security,在2020年第3季的研究報告中指出,他們看到相關的攻擊數量持續增加,比起同年第2季,第3季攻擊事件增加15%。而且,該公司也提出警告,幾乎是所有主要的產業,遭遇BEC詐騙的現象都有明顯成長。

值得留意的是,縱觀許多資安廠商的年度預測報告,鮮少特別呼籲大家要重視BEC詐騙攻擊升溫的趨勢,但這種現象已有數家郵件安全業者提出警告,表示這種攻擊極為難以發現,卻接連在各行各業發生,對於這種可能被輕忽的現象,我們也認為大家需要關注。

攻擊者對於受害組織交易模式掌握程度極高,操控郵件內容行騙

究竟這種詐騙手法造成的危害有多嚴重?根據FBI揭露的數據,他們在2019年獲報近2.4萬件BEC詐騙案件中,總共造成約17億美元的損失。而在2020年4月下旬,臺灣銀行洛杉磯分行向金管會通報的詐騙案件,因該分行未確認匯款資料正確性就進行轉帳,結果被騙走45萬美元,相當於新臺幣1,350萬元。

不光是金融單位被當作下手目標,駭客也可能鎖定有大量資金往來的組織。例如,2020年5月,Check Point揭露英國私募基金2019年遇害,被騙110萬英鎊;而這樣的事件,甚至出現在政府機關旗下的組織。隸屬於挪威外交部的國家投資基金Norfund,他們於同月坦承遭到BEC詐騙,損失1千萬美元。

但為何會上當?以上述的3起事件而言,臺灣銀行歸咎是人為疏失,經手人員在確認客戶的資料不夠確實所致;不過,其餘2起私募基金的部分,Check Point與Norfund則是透露較多發現,並且不約而同指出駭客的手法精細,對於受害組織的資金往來瞭若指掌,捏造收信人難以辨識的詐騙郵件,操弄郵件對話而得手。

這種攻擊者已經摸清攻擊目標底細,掌握郵件往來內容並進行操控的現象,將是企業在防範BEC電子郵件詐騙所需面臨的挑戰。

取得高階主管電子郵件信箱門檻降低,且可能波及其他應用系統

我們可能會認為,駭客需要投資大量成本來取得情報,特別是掌控大型企業高階主管的電子郵件帳號,得花不少錢,然而,事實上,攻擊者取得的代價並不高。

根據新聞網站ZDNet於11月的報導,有人在駭客論壇上銷售高階主管與財務人員的電子郵件帳號,依據職等和公司規模,每個帳號價碼自100美元至1,500美元不等,換言之,最多不到新臺幣5萬元的代價,就可以濫用大型企業的高階主管身分,來向公司員工發號施令。

再者,企業其他的IT系統上,很可能也使用同樣的電子郵件信箱名稱,做為使用者帳號,一旦電子郵件信箱遭駭,駭客可以藉此觸及其他系統。

以上述的事件而言,這名駭客宣稱提供的是Office 365電子郵件帳號,對於想要發動BEC詐騙攻擊的駭客而言,他們不僅能藉著購得的帳號和密碼假冒受害人身分,很有可能還會得到儲存在SharePoint的機密文件,而得知更多可用於向受害企業攻擊的資料,或是藉著Teams即時通訊等方式,來向企業的其他員工行騙。

另外,在近期的BEC詐騙事件中,駭客也開始嘗試利用較為特殊的手法,讓受害企業更加難以發覺攻擊行動蹤跡。例如,FBI在2020年11月,表示在8月發現的2起攻擊事件裡,駭客為了暗中收集所需情資而不被發現,竄改網頁信箱的自動轉寄規則,轉寄特定主旨的郵件給自己。由於受害企業監控相關規則的範圍,只針對電腦版的收信軟體,再加上收信軟體與網頁信箱的規則沒有同步,這些企業並未發現駭客從中轉寄信件的現象,結果其中一家醫療設備公司被騙走了175,000美元。

熱門新聞

Advertisement