全面偵測無法透過防毒機制阻攔的威脅郵件


商務電子郵件詐騙事件近年來迅速增加,2018 年企業因郵件詐騙損失現已超過 120 億美元。美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布最新的商業電子郵件詐騙統計估算,每次事件平均損失金額為160,000美元。

BEC(Business Email Compromise)是犯罪組織針對企業精心策劃的複雜騙局,在大多數情況下,詐騙者會將目標鎖定在財務人員身上,利用取得的資訊偽裝成企業高階主管或往來供應商進行詐騙。由於這類信件並非病毒信,無法透過防毒機制加以偵測阻攔,收件者必須更加謹慎處理。

電子郵件身份驗證機制(如 SPF、DKIM 及 DMARC)可阻絕假冒網域的電子郵件,但無法偵測其他類型的偽冒信,例如相似網域信件之詐騙攻擊。這也是為何企業用戶需要更進階的郵件詐騙防護機制之原因。

MailGates BEC 防護解決方案,整合 MailCloud 防詐騙智慧中心情資,透過郵件標頭防護政策與郵件行為分析等機制,幫助用戶解決難以防範的詐騙信問題。管理者可彈性設定郵件標頭安全政策保護往來合作夥伴,若偵測到異常郵件行為,可依組織政策將信件標記警語或刪除。郵件行為分析引擎,是根據 MailCloud 防詐騙智慧中心情資所制定的專家系統,可偵測電子郵件中關鍵特徵值,並根據用戶的信件往來紀錄,以判別是否為可疑信件。

MailGates BEC 防護機制如何運作


當一封郵件通過 MailGates 時,BEC 防護引擎會檢查幾個關鍵項目:

  1. 郵件身分驗證,檢查 SPF / DKIM及 DMARC 等驗證機制,阻絕假冒網域的電子郵件。
  2. 郵件標頭偵測,比對郵件中 Envelope-From、From 與 Reply-To 等標頭是否符合郵件安全政策。
  3. 郵件行為分析,檢查郵件各項特徵值,例如:偽造內部使用者名稱(Forge Internal User)、未曾往來的網域(New Observed Domain)、郵件回覆位址與寄件者不符(Reply-To Mismatch)、及相似網域(Cousin Domain)偵測等。
  4. 郵件意圖分析,檢查電子郵件內容是否具有急迫性、交易意圖或匯款請求,並透過回饋機制訓練 AI 防詐騙學習模型。

如果郵件未通過這些組合驗證,管理者可設定郵件安全政策將郵件退回、留置隔離區或標記警語提醒收件者該封信是可疑的。

BEC 威脅六大關鍵指標


MailGates BEC 防護主要特色


No 項目 說明
1 郵件身分驗證機制 支援 SPF、DKIM 及 DMARC 等標準驗證機制,避免網域冒用攻擊。
2 整合全球詐騙威脅情資 包含 CYREN 全球威脅情資及 MailCloud 防詐騙智慧分析中心情資。
3 彈性化郵件標頭安全政策 比對郵件中 Envelope-From、From 與 Reply-To 標頭內容,避免郵件標頭偽造攻擊手法。
4 防止偽造顯示名稱 比對郵件中顯示名稱是否為偽造,範例:
Sam<Sam@internal.com> 公司內部使用者
Sam<Sam@external.com> 意圖假冒之信件
5 防止相似網域詐騙

檢查寄件者網域與合作夥伴之相似性,範例:
mailcloud.com.tw » mailc1oud.com.tw
l » 1 (數字)
openfind.com.tw » openfind.corn.tw
m » rn
mail2000.com.tw » mail2000.c0m.tw

o » 0 (數字)
6 偵測郵件意圖是否具風險性 透過 AI 防詐騙辨識模型,分析郵件內文是否具交易意圖或匯款請求。
7 彈性化組合驗證機制 根據大數據分析統計,動態調整各項驗證機制權重,以達成最佳化檢測效果。
8 AI防詐騙學習模型回饋機制 提供詐騙信回報機制,回饋 MailCloud 防詐騙智慧分析中心,改善 AI 防詐騙學習模型

專家來解惑

何謂 DMARC 驗證機制?

DMARC 的全名是「Domain-based Message Authentication, Reporting & Conformance」,它是用來解決與電子郵件認証所發展出的協定,DMARC 提供一種機制讓發信端和收信端雙方可確認對方身分,從而降低釣魚信件(Fishing)及偽造信件(Spoofing)的發生。透過以下信件流程圖將說明 SPF/DKIM/DMARC 在郵件發送過程中的各種作用。使用者寫完一封信後,郵件伺服器會將信件加上 DKIM(DomainKeys Identified Mail)私鑰簽章並寄出,以確保信件傳送過程中不會遭到竄改。收信端的郵件伺服器在接收信件時會先檢查寄件伺服器的 IP 位址是否合法,有無被加到 RBL(Real-time Blackhole List)網站黑名單當中。接著從網域名稱伺服器(Domain Name Sever)下載 DKIM 公鑰並加以驗證結果是否相符,之後驗證 SPF(Sender Policy Framework)紀錄,收件者可參考 SPF 紀錄,判斷聲稱來自寄件者網域的郵件是否真的由授權的郵件伺服器所傳送,最後再根據 DMARC 的政策決定這封信是否通過(Passed)、隔離(Quarantine)或者拒收(Reject),最後信件才傳給收信端的垃圾信過濾機制。

為何電子郵件身分驗證機制無法阻擋詐騙信?

電子郵件身份驗證機制(如 SPF、DKIM 及 DMARC)可阻絕假冒網域的電子郵件,但無法偵測其他類型的偽冒信,例如相似網域(Cousin Domain)信件之詐騙攻擊。

BEC 防護機制如何阻擋詐騙信?

MailGates BEC 防護機制根據 MailCloud 防詐騙智慧中心情資所制定的專家系統,可偵測電子郵件中關鍵特徵值,並根據用戶信件往來紀錄,以判別是否為詐騙信件。