集团新闻

    电子邮件因其方便、快捷、成本低廉的特点,成为企业之间进行商务沟通的重要手段,商务交易订单、收据及汇款账号等都可通过电子邮件进行传递,尤其是与长期合作公司的跨国交易,由于时差、语言等因素,以电子邮件为主要沟通途径,更是习以为常的一件事。电邮在商业领域的广泛应用也衍生出以电子邮件为攻击途径的网络诈骗攻击手法——“商务电邮诈骗”(Business Email CompromiseBEC)。美国联邦调查局(FBI)近日发布公告显示,2017 上半年商务电邮诈骗已造成全球高达53亿美元的经济损失。

    什么是“商务电邮诈骗”?

    “商务电邮诈骗”(BEC)又被称作“老板诈骗”(CEO Fraud)或“中间人诈骗”(Man in the Middle)。美国联邦调查局旗下网络犯罪申诉中心在网络犯罪报告中指出,“商务电邮诈骗” 是一场复杂的网络诈骗行为,目标是经常执行电汇付款的外国供货商或企业合作伙伴。主要透过社交工程手法与入侵商业电子邮件帐户等方式,进行未经授权的转账。实施“商务电邮诈骗”的攻击者通过各种手段,其中包括社交媒体、公司网站介绍或黑客攻击手段,弄到企业老板的电邮账号,之后冒充老板通过电邮指示公司财务部电汇项目款给某公司,而这个公司往往是诈骗团伙的同谋,他们得到付款后,立刻将这笔钱转移到国外另一银行账户。“商务电邮诈骗”一般分为以下四个实施阶段:

    阶段1:确认目标

    黑客从网络上或通过其他途径,搜集到各企业大老板或企业窗口的联系信息,以及各式相关信息。

    阶段2:潜伏观察

    黑客透过入侵或“钓鱼”手法成功取得企业邮件登入账号密码,或透过恶意软件侧录使得双方通信内容一览无遗,掌握公司财务对象、大老板行程与交易信息,等待时机攻击。

    阶段3:正式发动攻击

    在国内企业与国外厂商交易快完成前,中断厂商之间的通讯,向是Reply-to的发件人至窜改的假冒E-mail,并假冒出口商要求变更汇款账号,或是假冒大老板名义向公司会计要求汇款。

    阶段4:取走汇款

    待企业上当汇款之后,将款项提领一空,或是再汇至第三个国家地区银行或第四个国家地区银行。

    事实上,这类跨国商务电邮诈骗案,并不是今年才有的网络犯罪手法,早在五六年前,就传出不少企业遇害。或许你会说这跟多数网络钓鱼诈骗有何不同?事实上,“商务电邮诈骗”并非大规模寄送电子邮件,这类手法同样以电子邮件为攻击途径,但聚焦在跨国交易的来往过程,在入侵、潜伏观察后,伺机而动,且冒用对象是以邮件沟通的企业合作伙伴,或是企业高层主管如CIOCEOCFO为主,并发送邮件给相关负责人与财务经办人员。企业一旦遇害,损失金额为几十万至上千万元不等。的确,它就是一种针对性攻击,也可能运用现行各种网络安全威胁渗透至受害者计算机的手法,但接下来的方式,就是以冒用身份为主。

    快速识别“商务电邮诈骗”

    “商务电邮诈骗”的伪装性和欺骗性极强,如何快速识别这种网络诈骗手法是预防的关键,以下是五类常见的“商务电邮诈骗”方式:

    1、黑客假冒海外供货商以要求企业付款

    网络犯罪分子假冒国外客户E-mail,要求变更汇款账号,导致公司汇款至诈骗用账户。或者是假冒&&公司名义发送E-mail给国外客户,导致国外客户汇款至诈骗用账户。

    2、黑入企业高阶主管的电子邮件账号,并假冒其名义要求企业内部的财务经理人汇款

    网络犯罪分子假冒老板E-mail,像是CEOCIOCFO,向公司会计要求需紧急处理某笔电汇。

    3、与客户联系的企业窗口电子邮件账号被骇,并假冒其名义要求供货商付款

     网络犯罪分子窃取公司企业窗口甚至负责人电子邮件,直接寄送伪造内容的信件,致使对方汇款至诈骗用账户。

    4、黑客假冒律师或事务所的代表,宣称要处理紧急事件而要求汇款,可能选在工作日的最后一天发信给受害者

    5、同样是骇入高层主管邮件账号,假冒其名义发信给内部的人事或审计主管,要求汇整提供所有员工数据

    攻击者成功实施“商务电邮诈骗”的关键一步是窜改Email账号,以下是几类黑客惯常使用的Email账号伪装手法:

    1、字形混淆变化

    2、字符加减变化    

    3、位置调换与直接假冒

    通常情况下,网络犯罪分子都使用名称非常相似的假电子邮件账号,例如将账号中的英文字母l”改成数字“1”,英文字母“o”改成数字“0”,甚至是英文字母“m”改成“rn”的方式。还有的手法是在账号不显眼处增减1字,或是将域名移到@前方来鱼目混珠。使用者不论是在发信、回信时,可以多确认一下发件人的电子信箱是否正常。另外也要提醒,也有黑客是攻入企业使用的电子邮件系统,或盗取用户账号,由于对方是使用真正的邮件账号发信,会更难防范。

    有效防范“商务电邮诈骗”

    有效的多层式防护对预防“商务电邮诈骗”极为关键。电子邮件和网站网关、端点装置、网络以及服务器,全都需要专属的防护,而且要环环相扣才能发会效用和效率。大约 97% 的勒索病毒和网络钓鱼都能在网站和电子邮件网关端拦截。过了网关之后,则可透过行为监控、应用程序控管及漏洞防护来保护端点。此外,还可借由流量扫描、横向移动防范技术以及恶意软件沙盒仿真分析来保护网络。同时,在网络防护之上还可以再多加一层网站服务器防护来保护服务器。

    服务器是网络犯罪集团的终极目标,不法分子常利用服务器的组态设定错误、软件漏洞,或是失窃的用户账号密码、中间人攻击以及横向移动技巧来入侵服务器。歹徒一旦进入服务器,就能读取、篡改或导出各种企业数据,包括:业务、财务或客户资料。

    最为关键的是要认识到——人是最大的网络安全漏洞。人的一切不符合网络空间安全的行为,都可能成为网络黑客攻击的突破口。因此,企业除了需要提高自身网络安全外,还应深化员工的网络安全意识。员工在不敢质疑或违背上级命令的情况下,很容易被骗点选恶意的连结、开启受感染的附件档案、将大笔款项汇入不法分子的账户里。因此员工教育很重要,但企业往往忽视了这一环节。网络安全教育应该列入新进员工训练项目之一。此外,也可借由渗透测试来对员工进行网络钓鱼测验。企业内应该建立起相应的网络安全防护文化,所有员工都应了解自己在不法分子实施网络诈骗过程当中自身所扮演的重要角色。

    随着移动网络的快速演进、智能终端的日益普及、服务模式的迭代创新,网络在给我们带来生活便利的同时,也带来了非法入侵、网上窃密、网上欺诈、网上走私等新的危害,信息安全风险日益凸显,网络安全形势愈加严峻。