原标题:【比勒索软件更危险】从台湾BEC诈骗实例看骇客攻击手法
资料来源:刑事警察局165统计,iThome整理制表,2017年9月
近年来,内政部警政署刑事警察局已经公布两起电子邮件诈骗案例,也让我们实际见识BEC诈骗所用的手段。
内政部警政署刑事警察局科技研发科股长罗国良表示,像是在2016年10月,内政部警政署刑事局与台新银行,成功拦阻一起商业电子邮件诈骗案,这桩诈骗的金额高达1亿5,360元,为近期损失规模最大的事件。
这起事件是因为台新银行的行员发现,某存款帐户于105年10月26日,突然有1亿5,360万元款项的入帐,而该户头之前并未有巨额款项的交易纪录,由于疑似不法异常交易,因此,通过联防机制联系165反诈骗咨询专线,经警察依经验判断,立即通知台新银行启动圈存机制,将未及领出的款项冻结。
之后经过深入调查才知道,原来是香港某投资公司会计陈小姐,误信了歹徒寄出的诈骗电子邮件,信件内容系假冒负责人要求,尽速将巨额款项汇予指定帐户。由于歹徒使用的电子邮件信箱,伪装成公司负责人很相像的电子邮件信箱,让陈小姐误以为是真是大老板寄出的信,因此依信件内容指示,将480万美元(约新台币1亿5,360万元)汇款至歹徒指定之存款帐户。
另一起事件是在2016年11月,内政部警政署刑事局接获趋势科技情报,有国内某传产厂商与俄罗斯合作业者之间的交易邮件,被骇客窃取并窜改邮件内容的情形。由于掌握到相关证据,因此刑事警察局主动出面,与该台湾厂商联系,并请他们与俄罗斯客户确认,才阻止这次九万美元,约合新台币300万元的交易金额损失。
罗国良指出,在这两次事件中,交易双方都是处于不知情的状况,而趋势科技通报的这起案件,也是等到台湾厂商接获刑事警察局的警示电话才知晓。
这起案件是假冒台湾厂商联络窗口,要求变更汇款帐号,邮件中窜改了寄件帐号,邮件回复是指向一个伪装与寄件者相像的电子邮件信箱,甚至隔天还寄出附上假收据的邮件,来增加取信于俄罗斯业者的联络窗口。
刑事局之所以能快速掌握诈骗证据,是因为诈骗者使用的是一个名为YOPmail的免费临时信箱服务。市面上这类可拋弃式信箱、一次性信箱不少,像是YOPmail的特色是,邮件最多保留5日后删除,不留证据,但登入这个网页信箱也不需要密码,因此,任何人只要知道信箱帐号,就能检视。
趋势科技中小企业事业部协理黄家宝也提出进一步说明,因为事件中的俄罗斯厂商就是他们的客户,他们先从邮件递送过程发现端倪,然后循线找到骇客使用的YOPmail信箱与内容,因此能掌握到邮件内容是在诈骗的证据,才赶紧联系刑事警察局来处理。
黄家宝也提到,这次是刚好在遇害时间内,发现骇客使用的是一次性邮件信箱,并得知其内容,否则一般无法举证如此详细。
从上述两个例子来看,国内很早就有联合金融机构和警察机关的警示帐户联防机制,可缩短对诈骗案件的处理时程,以即时阻断民众被诈骗款项被歹徒提领。
另外,刑事警察局为加强打击科技犯罪能量,在2015年时,也与资安厂商趋势科技签订合作备忘录,通过不定期的情报分享,期望能防范网络犯罪于未然。
然而,这些提前预防的案例相当少见,大多数企业都是受害之后,才开始进行后续调查。因此企业本身还是要提高警觉,不要疏于公司资安保护及交易汇款确认。
?
快速认识“商务电子邮件诈骗”商业电子邮件诈骗(Business△E-mail△Compromise,BEC),也简称BEC诈骗。
?受害对象 ?与国外供应商或业务有所往来的企业,尤其是制造、食品、零售、运输等传统类型产业,资安警觉性较低,受害可能性高。
?五种常见BEC诈骗方式?
场景一 骇客假冒海外供应商以要求企业付款。
(网络犯罪分子假冒国外客户E-mail,要求变更汇款帐号,导致公司汇款至诈骗用帐户。或者是假冒台湾公司名义发送E-mail给国外客户,导致国外客户汇款至诈骗用帐户。)
场景二 骇入企业高阶主管的电子邮件帐号,并假冒其名义要求企业内部的财务经理人汇款。
(网络犯罪分子假冒老板E-mail,像是CEO、CIO、CFO,向公司会计要求需紧急处理某笔电汇。)
场景三 与客户联系的企业窗口电子邮件帐号被骇,并假冒其名义要求供应商付款。
(网络犯罪分子窃取公司企业窗口甚至负责人电子邮件,直接寄送伪造内容的信件,致使对方汇款至诈骗用帐户)
场景四 骇客假冒律师或事务所的代表,宣称要处理紧急事件而要求汇款,可能选在工作日的最后一天发信给受害者。
场景五 同样是骇入高层主管邮件帐号,假冒其名义发信给内部的人事或审计主管,要求汇整提供所有员工资料。
?BEC诈骗流程的四个阶段?
阶段1 确认目标
骇客从网络上或展场中,搜集到各企业大老板或企业窗口的联系资讯,以及各式相关资讯。
阶段2 潜伏观察
骇客通过入侵或钓鱼手法成功取得企业邮件登入帐号密码,或通过恶意软件侧录使得双方通信内容一览无遗,掌握公司财务对象、大老板行程与交易资讯,等待时机攻击。
阶段3 正式发动攻击
在国内企业与国外厂商交易快完成前,中断厂商之间的通讯,向是Reply-to的寄件者至窜改的假冒E-mail,并假冒出口商要求变更汇款帐号,或是假冒大老板名义向公司会计要求汇款。
阶段4 取走汇款
待企业上当汇款之后,将款项提领一空,或是再汇至第三个国家地区银行或第四个国家地区银行。
资料来源:美国FBI犯罪申诉中心IC3,iThome整理,2017年9月
?
注意窜改Email帐号的伪装手法窜改Email手法|字形混淆变化
窜改Email手法|字元加减变化
窜改Email手法|位置调换与直接假冒
基本上,网络犯罪分子往往使用名称非常相似的假电子邮件帐号,例如将帐号中的英文字母“l”改成数字“1”,英文字母“o”改成数字“0”,甚至是英文字母“m”改成“rn”的方式。还有的手法是在帐号不显眼处增减1字,或是将网域名移到@前方来鱼目混珠。
使用者不论是在寄信、回信时,可以多确认一下寄件者的电子信箱是否正常。另外也要提醒,也有骇客是骇入企业使用的电子邮件系统,或盗取使用者帐号,由于对方是使用真正的邮件帐号发信,会更难防范。
?
面对BEC诈骗,企业该采取的5大行动行动1 收到汇款变更通知,务必第二管道确认:
对于经常往来国外厂商突然变更收款帐户,或是变更出货地等情况时,应提高警觉,确认是否为正确邮件,最好要以电话等方式联系,做为双重认证机制。
行动2 增强内部稽核流程:
合作厂商若要变更汇款资讯,企业内部是否也要制订相关SOP,像是需要经由公司另一位人员复核。对于公司主管来信,各单位也应确认是否为正确邮件,如有金钱与重要资料交付有关,其他通讯管道联系确认。
行动3 提升员工资安意识:
被害厂商疏于交易汇款确认,为深化员工的资安意识,可加强人员对钓鱼邮件与BEC诈骗的认识,或是增加社交工程诈骗演练,到养成一些简单的预防动作,例如确认电子邮件寄件来源。
行动4 强化企业资安防护:
被害厂商疏于公司资安保护,应强化公司电脑资安维护,减少骇客入侵、木马程式植入之机会。
行动5 检举报案:
一旦察觉任何诈骗事件,立即报警或向165反诈骗专线检举。
资料来源:各资安厂商、刑事警察局,iThome整理,2017年9月
iThome△Security
相关:
示意图,与新闻事件无关。 图片来源: Deloitte 卫报(The△Guardian)周一(9/25)披露,全球四大会计师事务所之一的Deloitte(德勤)遭到骇客入侵,导致客户资料外流, Deloitte已对外证实此事,但宣称只有极少数
台湾新创矽谷发表 “Taiwan Demo Day”展现梦想
我酷新闻网记者黄有容/综合报道台湾优秀新创团队在矽谷发表台湾成果!科技部“预见新创”计划于今年7月遴选出10组优秀团队前往矽谷培训,并于美西时间2017年9月21日(台湾时间9月22日)在矽谷举办“TaiwanDemoDay”展
Fintech双周报第30期:航班延误理赔应用实例,安盛用以太坊公有链打造自动理赔的透明化保险合约
09/09~09/22 重点新闻航班延误理赔应用实例,安盛用以太坊公有链打造自动理赔的透明化保险合约法国跨国保险巨头安盛集团(AXA)日前发布一款新的航班延误保险商品,利用以太坊公有链来储存跟处理保险理赔。这项商品命
示意图,与新闻事件无关。 美联社报道,上周国土安全部正式通知21州,在去年大选期间该州选务系统遭到俄罗斯骇客锁定。?去年以来俄罗斯干扰总统大选、窜改各州选务资料、入侵系统的疑云持续笼罩美国,但直到这次通
没连网就安全了吗?研究:骇客仍可利用红外线监视摄影机隔空窃取资料
示意图,与新闻事件无关。 军事或政府机关基于绝对安全考量,切断所有设备的对外连网管道。但研究人员发现监视摄影机即使不对外连网,骇客也可能用它来窃取资料向外传送,或是由外部传送指令对企业网络发动攻击,方