原标题:企业财务负责人员当心!冒充高层或客户的邮件诈骗事件频传
今年6月,美国FBI网络犯罪申诉中心IC3公布2016年度网络犯罪报告,其中商业电子邮件诈骗(BEC)类型造成企业3.6亿美元损失,占该年网络犯罪金额的27.1%,而它的申诉案件只占该年网络犯罪案的4%。比起勒索软件攻击,BEC诈骗对于骇客的投资报酬率相当惊人,预料未来还会继续成长。(资料来源:美国FBI犯罪申诉中心IC3,iThome整理,2017年9月)
“交易款项前几天已经汇出,今天客户打来却说没有收到汇款!”一间国际贸易的中小企业,平时都是以电子邮件联系与国外合作客户做生意,多年来已经配合多次,是个重要的国外合作伙伴。前阵子,在新的一笔交易快要确认前,收到对方变更汇款帐户的通知,并有附上公司戳记的收据档案,因此照惯例先汇款部分款项。
没想到,这却是恶梦的开始,今天客户突然打来说没有收到汇款,想询问他们何时能出货。因为对方迟迟等不到台湾公司汇款至指定的帐户,也误以为对方还在商讨或调整订单的决策过程中。
“一开始,我们甚至以为是对方想要赖帐,经双方不断对质与确认后,才发现我们收到的邮件有遭窜改的迹象,让我们回复的邮件是传送到另一个电子信箱,而且,这个电子信箱伪装的与该客户的电子信箱很像,让公司带来折合台币近百万元的损失。”
这只是企业遭受邮件诈骗的冰山一角,这几年以来,包括警政署、资安公司也曾公布不少案例是,与台湾公司合作的国外企业客户,误信诈骗邮件,将款项汇入非台湾公司帐户的情况。而这样所引起的跨国交易纠纷,对于台湾企业而言,也可能造成商誉或双方之后合作出问题。
当心!冒称他人电子邮件通知企业汇款的威胁
使用电子邮件沟通,早已是企业沟通的主要联络方式,举凡交易订单、收据及汇款帐号等,都可能是通过电子邮件传递,尤其是与长期合作公司的跨国交易,由于时差、语言等因素,以电子邮件为主要沟通途径,更是习以为常的一件事。
然此作业惯例,却也衍生出以电子邮件为攻击途径的商业电子邮件诈骗(Business△E-mail△Compromise,BEC)攻击手法。
面对层出不穷的商业电邮诈骗手法,企业首先要认知一件事,那就是电子邮件也有被冒用或窜改的可能性。就跟我们时下常听闻,即时通讯Line或Facebook帐号被盗,冒用装熟借钱的事件有些类似,但商业诈骗更具针对性。
你是否想过,收到的电子邮件可能不是寄件者本人发送的,而是因为帐号被他人盗用,或是伪冒成当事人与你往来而不自知。如果你一点概念都没有,可要当心成为下个被害者。
尤其是时常进行跨国转帐交易的企业,骇客冒用企业内部的高层主管或合作公司业务窗口,相关负责人与财务与经办人员更要特别当心,因为对交易、金流有决定权与执行权的你们,更容易将成为骇客锁定目标。不论企业规模大小,都有遇害的可能性。
什么是商务电子邮件诈骗?
事实上,这类跨国商业电邮诈骗案,并不是今年才有的网络犯罪手法,早在五六年前,就传出不少企业遇害。
之所以令我们再次关注此议题,是因为这一年多来,在邮件安全议题上,我们又时常听到资安厂商与邮件安全厂商,提及BEC诈骗带来的威胁,甚至就连美国联邦调查局(FBI),也不断发出警告与制作相关专题,提醒企业当心。而他们这么积极宣导,是因为BEC防范确实有其难度,尤其是资安意识较薄弱的中小企业。
什么是BEC?根据美国FBI旗下网络犯罪申诉中心(IC3)的2014年网络犯罪报告,他们形容BEC是一场复杂的网络诈骗行为,目标是经常执行电汇付款的外国供应商或企业合作伙伴。主要通过社交工程手法与入侵商业电子邮件帐户等方式,进行未经授权的转帐。
而我们对这种行为简称为BEC诈骗,最近如果你关注资安厂商趋势科技发布的消息,你也会看到他们特别将此攻击手法称为变脸诈骗,点出这类攻击手法就是冒用对方身份,也就是所谓的中间人电子邮件诈骗。
或许你会说这跟多数网络钓鱼诈骗有何不同?事实上,BEC诈骗并非大规模寄送电子邮件,这类手法同样以电子邮件为攻击途径,但聚焦在跨国交易的来往过程,在入侵、潜伏观察后,伺机而动,且冒用对象是以邮件沟通的企业合作伙伴,或是企业高层主管如CIO、CEO与CFO为主,并发送邮件给相关负责人与财务经办人员。企业一旦遇害,损失金额为几十万至上千万元不等。
的确,它就是一种针对性攻击,也可能运用现行各种资安威胁渗透至受害者电脑的手法,但接下来的方式,就是以冒用身份为主。
美国FBI网络犯罪申诉中心IC3调查显示,去年商业电子邮件诈骗(BEC)造成的企业损失金额高达3.6亿美元(约108亿元),占全年度网络犯罪金额的27.1%,遥遥领先其他犯罪手法。
全球3年来BEC诈骗逾4万件,带来的潜在损失高达53亿美元
企业老板不可不知,BEC所带来的企业损失,近年已经居于网络犯罪类型之冠,是让企业损失最惨重的手法。
在今年6月,美国FBI网络犯罪申诉中心IC3,公布2016年网络犯罪报告,去年的商业电子邮件诈骗投诉案件,共有12,005件,大约占全年度网络犯罪案件的4%,不过,造成的企业实际受害损失金额却高达3.6亿美元(约108亿元),占全年度网络犯罪金额的27.1%,遥遥领先其他犯罪手法。
时间再往前推,若是相较于2015全年度的7,838件与2.63亿美元,很明显,遭受BEC诈骗的受害企业又有大幅增加,也难怪这类非新兴攻击手法,又成为各界关注焦点。总计,自2013年10月至2016年12月为止,商业电子邮件诈骗案件已经逾4万起,若是以曝险损失金额来看,更是高达53亿美元(约713亿元),相当骇人。
台湾企业的受害情形又是如何?是本土企业关心的议题,我们从内政部警政署刑事警察局提供的统计资料显示,2016年受理的商业电子邮件诈骗案件有61件,今年也已经有39件(至8月底止)。而从诈骗金额来看,根据刑事警察局165反诈骗专线资料库统计,光是今年已报案业者的统计,也已经带给台湾企业超过1亿元的损失。
而且,在这些官方统计数据之外,企业也要了解到,实际受害损失将远超于此,可能因为被诈骗的企业羞于公开,或者不期待能将损失的金钱追回,以致于报案率偏低。有些资安公司透露部分受害企业,是直接请他们协助调查公司邮件被入侵的情形,并没有报案,甚至听说,有单一台湾企业损失金额就高达两亿元的情形。
假冒手法最多的类型:冒充CEO与海外供应商要求付款
从网络犯罪角度来看,这类商业电子邮件诈骗手法,号称是最高效的诈骗手法,因为骇客技术不一定要高,不法获利却能最高,比起勒索软件威胁更大。
只要企业不小心疏忽,一次就被骗走几百、几千万元,是全球企业都需高度重视的资安威胁风险,台湾也不例外。
在孙子兵法中,所谓“知己知彼,百战不殆。”虽然网络犯罪分子用的并非什么新兴技术,不过企业也该关注,近年这些电邮诈骗案使用的手法,又有哪些变化。
根据我国刑事警察局预防科165资料库的统计,指出2015年的主要欺诈手法,是网络犯罪分子通过窜改电邮帐号,或是侵入电邮信箱方式,向被害公司通知变更收款帐号,致使被害公司误信并汇款。
2016年,上述诈骗手法依旧存在,另外还有假冒企业执行长名义,向公司会计称将进行资产并购案,过程必须保密,并要求其配合操作相关巨额汇款。而且,这些收款地区多位在欧洲,以英国与波兰的占比最高。
趋势科技中小企业事业部协理黄家宝也表示,根据他们统计,假冒CEO是近年国外最普遍的方式,至于国内企业遭遇的手法,则多是骇客假冒海外供应商要求企业付款。
BEC诈骗是有计划的针对性攻击,往往也同时混合冒用、入侵等手法
更进一步观察,黄家宝也指出,目前他们看到的BEC诈骗信几乎都是以英文信沟通为主,还没有看到本土化的中文诈骗信。
因此攻击的影响对象,就是与国外供应商或业务有所往来的企业,尤其是传统类型产业,包括制造、食品、零售、运输业等,由于资安警觉性较低,受害可能性高。而时差、语言也是一大因素,因为这些企业可能相当依赖电子邮件方式沟通。
在BEC诈骗的攻击流程上,主要为骇客窜改企业间往来的邮件内容,误导企业转帐至诈骗帐号,但整个过程也都是有其计划性,主要可以分成4个阶段:锁定目标、社交工程攻击、潜伏监控与执行诈骗。
举例来说,首先会从网络上或展览中搜集公司CEO与业务的公司电子邮件,锁定目标后开始接着想办法掌握资讯,像是以钓鱼信件骗取公司电子邮件帐密,之后就可以登入检视,或是设定自动密件副本转寄方式,就能监看电子邮件内容,并试著找出进行转帐及要求转帐的对象。
在企业邮件帐密的骗取方式上,像是假冒邮件系统通知信,引导至假的网站,要求重新输入邮件帐号与密码,或是引诱下载包含Keylogger键盘记录的病毒或木马,达到窃取帐号的目的。
当骇客潜伏一阵子并掌握多方资讯后,就会在关键时刻出手诈骗,像是在最大笔的交易快完成之前,寄送变更汇款帐号的E-mail,或是高阶主管出差或重要会议时,假冒公司CEO发电子邮件给财务主管,称说急需用钱,要求将钱赶快汇到指定帐户。
从各资安厂商与刑事警察局提供的资料,在冒用电子邮件的方式上,也有粗糙与精细之别。基本上,电子邮件地址的格式为,“使用者名称@完整网域名称”(例:guest@公司名称.com)。
像是有些案件,骇客要假冒企业,仅使用与CEO相同的使用者名称,@后面则可能是各式免费信箱的网域名称。同时邮件内容并强调我是大老板,要收件者遵照指示。
更进阶一点,骇客可以把@后面的网域名称,改到@前面,或是字母形状混淆的方式,像是将小写L改成数字1,或是m改成rn,又或者是多一个、少一个字母等作法,让使用者觉得相像而没有第一时间察觉。
甚至,骇客实际申请与企业客户电子邮件网域名称相似度极高的电子邮件,像是@eroupe.com改成@erOupe.com。趋势黄家宝就指出,他们看过这样的案例,追查网域申请时间,就可以知道企业可能在3个月前就被锁定。
邮件安全厂商中华数位产品经理高铭钟也提到,原本正常往来的邮件,经骇客入侵后,当使用者按下回信按钮时,寄件者已经不是原本的寄件对象,使用者一般不易察觉,再加上前面提到的混淆手法,更是让使用者防不胜防。
最近,他们又观察到了一个新的趋势,就是骇客会在电子邮件中,以没头没尾的一段话,试图骗取企业员工的任意回应。
BEC诈骗严重性浮上台面,企业、金融机构与资安厂商都要积极面对
面对来势洶洶的BEC诈骗攻击,企业该如何面对?尽管电子邮件冒用方式五花八门,冒用手法也令人防不甚防,但要知道的是,这些网络犯罪分子的最终目的,都是要骗取金钱或货品。
以近期的手法来看,公司业务与财务相关人员只要看到“客户变更汇款帐户”、“CEO通知紧急汇款”的邮件内容,一定要以邮件外的联络方式确认,像是立即拨打电话联系,以增加交易的安全性。
当然,企业设法加强端点安全与电子邮件系统的安全性,也是很重要的一点,不要连最基本的防护都没有,更不用说像是邮件帐号登入安全、邮件加密与电子邮件验证等防护功能。
内政部警政署刑事警察局科技研发部股长罗国良指出,在他们过去查办的案件中,有些传统企业生意作的很大,使用的却是Hinet免费赠送的网页信箱,甚至有多人共用帐号的情形,这已经显示该企业对于资安没有太大重视。
骇客只要在展场搜集名片或是上网查询,就能先看出一些端倪,推测该企业连基本防护都没有,接下来可以伪冒Hinet系统通知信骗取邮件帐密,或是以暴力破解方式,因为多人共用帐号的电子邮件信箱,密码通常也不会太难。
尽管BEC诈骗并不是什么新兴的攻击手法,不像加密勒索软件那样高调,但随着近年企业受害有越来越严重的迹象,也让问题再浮上台面。
就像近期我们也看到不少邮件安全厂商,已经关注到这样的局势变化,开始在邮件防护产品中加入BEC相关的防护功能,甚至利用人工智慧、交叉分析等技术,在系统侦测到有问题时,可在邮件内文或标提前面加上警示字样,能帮助使用者察觉邮件异常,提醒使用者要进一步去确认。
综合来看,企业要知道的是,商业电子邮件诈骗带来的每笔损失都不小,一次遇害可能就损失几百万以上,企业本身应设法积极预防电子邮件诈骗,不论是提升员工资安意识,强化商业流程与内部稽核管控,或加强企业本身电子邮件安全防护,才不至于疏于公司资安保护与交易汇款确认。
iThome△Security
相关:
我酷新闻网记者黄兴文/台北报道林口长庚医院被踢爆疑滥用子宫镜检查,甚至造成一名女子死胎。对此,民进党籍立委刘建国21日表示,健保署有必要对医疗资源是否过度滥用问题进行检讨,同时质疑,长庚子宫镜事件只是冰
今天市场的热点又轮到水泥股票了。截至早盘收盘,水泥股票纷纷上涨,华新水泥拉板,海螺水泥、祁连山等涨幅超3%。水泥股票行情开启。水泥股票全线反弹从现在的盘面来看,最强势的就是水泥股票了。供给侧改革以来,其
自8月25日开始,人民币对美元连续11个交易日上涨,最近的两个交易日,人民币中间价有所下调。那么怎么看待下一阶段的人民币汇率走势?国家外汇管理局副局长陆磊13日在国家金融与发展实验室主办的“人民币与外汇市场论
9月13日,华住酒店集团和印度最大酒店公司OYO,在上海签订了为期5年的合作备忘录,华住将对OYO进行1000万美元的股权投资。华住称,在此次合作备忘录框架下,华住与OYO将实现技术共享和员工交流,华住将帮助OYO在中国
9月12日,阿里云宣布推出全新一代异构加速平台,涵盖GPU、FPGA在内等6款异构实例,可满足从图形渲染到高性能计算及人工智能等复杂应用的计算需求。阿里云方面称在人工智能领域,异构加速平台可将深度学习成本缩减一半