2018 年


2018-09-26

網擎資訊產品經理 張峰銘

拆解五大 BEC 攻擊手法 防範商業電郵詐騙有撇步

2018 年 7 月,美國聯邦調查局透過其網路犯罪通報中心(Internet Crime Complaint Center,IC3)發布最新的商業電子郵件詐騙(Business Email Compromise,BEC)威脅報告。根據統計顯示,商務電子郵件詐騙正持續的發展,受害對象從大型跨國企業進而擴展到中小型企業及個人交易,自 2016 年 12 月至 2018 年 5 月期間,總計有 115 個國家的企業遭受 BEC 攻擊,損失金額正逐年快速地攀升,到 2018 年估計將成長到 125 億美元。

 

一場精心策劃的騙局

BEC 是犯罪組織針對企業精心策劃的複雜騙局,在大多數情況下,詐騙者會將目標鎖定在財務人員身上,然而詐騙者並不會直接對財務人員提出匯款請求,而是策略性的向人力資源主管騙取企業電子郵件帳戶或機敏資料,再利用取得的資訊偽裝成企業高階主管或往來供應商進行詐騙。犯罪組織會透過社交媒體等管道蒐集企業的商業活動資訊,並觀察往來的合作廠商,在高階主管出差時以急迫性事件為由,寄送無法分辨真偽的合法信件請求匯款,若收件者過度依賴與往來合作夥伴間的假定信任,未透過其他管道再三確認就有可能受害,由於這類信件並非病毒信,無法透過防毒機制加以偵測阻攔,收件者必須更加謹慎處理。

 

BEC 攻擊類型

由於簡單郵件傳輸協議(Simple Mail Transfer Protocol,SMTP)中缺乏寄件人身份驗證機制,任何人都可偽造信件內的寄件人地址,也因此電子郵件成為網路犯罪最常使用的工具,例如釣魚信(Phising)和偽造信(Spoofing)都會偽造寄件人地址,其目的是讓收件人誤以為該電子郵件的來源合法,不知情的受害者可能會因此上當而外洩企業機敏資料或點擊信件中惡意連結,以下列出常見的電子郵件詐騙手法:

  • 郵件來源詐騙(From Field Spoofing):此技術偽造信件內的 From 欄位(Mail From)地址,但真實信件來源(Envelop From)卻來自不同的網域,是最常見的詐騙攻擊手法。
  • 回覆信件詐騙(Reply-To Spoofing):此技術會使用真實的電子郵件地址,通常是企業的高階主管,但信件回覆(Reply-To)地址與信件來源(Mail From)地址的網域不同,例如寄件人地址為 ceo@mycompany.com,但回覆地址卻是 ceo@spoofing.com,這種攻擊方式也稱為 CEO 詐騙。
  • 寄件者詐騙(Sender Spoofing):此信件的特徵是信件來源(Mail From)地址是偽造的,且沒有信件回覆(Reply-To)地址,因此收件者無法回信進行雙向溝通,這類信件內容通常帶有完整的匯款資訊與指令。
  • 相似網域詐騙(Cousin Domain):此信件的特徵為攻擊者的網域和已知收件者網域非常相似,例如已知郵件地址為 sales@mycompany.com 而攻擊者的郵件地址為 sales@mycompony.com,由於網域僅有些微差距,收件者很容易忽略。相似網域的變化型很多,例如在網域名稱後加上英文字母 S 或將英文字母 O 置換成相似的數字 0 等,都屬於相似網域攻擊。
  • 急迫性請求的郵件:根據統計,BEC 詐騙的信件標題與內文中常含有某些特徵字詞(例如:緊急、請求、匯款、帳單、薪資、法律、合約、稅務等),其用意在於引起收件者的注意,並以時間急迫性為由迫使收件者快速處理。

BEC 的防範方式

BEC 是以「人」為出發點的社交攻擊方式,若要防範並不能只靠單一解決方案,而是需要建立層層的防禦機制,以降低風險發生的機率,筆者建議企業可從以下幾個面向加強:

1.加強郵件帳號安全性

​郵件帳號認證是資安的基本功,企業郵件系統應具備雙重認證機制,使用者登入信箱時,需透過手機等行動裝置取得一次性密碼才能登入。有些郵件服務還會提供異地登入偵測功能,可限制帳號只能於某地區登入,並偵測前後次登入地理位置是否相同,一旦發生異常,可自動阻擋來自異常地區的登入動作並發出警示通知。

2.導入 DMARC 認證機制

DMARC 的全名是「Domain-based Message Authentication, Reporting & Conformance」,它是用來解決與電子郵件認証所發展出的協定,DMARC 提供一種機制讓發信端和收信端雙方可確認對方身分,從而降低釣魚信及偽造信件的發生。越來越多的電子郵件供應商如 Gmail 及 Hotmail 等,在接收郵件時會檢查其是否符合 DMARC 規範,若不符合規範該信件就很可能被判定成垃圾信。企業與合作廠商雙方都應導入 DMARC 認證機制,以確保往來信件的安全。

3.導入可偵測偽造信的雲端安全電子郵件閘道

由於採用雲端郵件服務的企業組織越來越多,為了強化郵件的安全性,可導入雲端安全電子郵件閘道。企業可自訂規則,將合作供應商的電子郵件位址加入 BEC 保護名單,一旦收到合作供應商的信件,系統可根據電子郵件標頭和信件來源判斷是否為偽造信。有些廠商提供相似網域偵測服務,可定期比對與 BEC 保護名單中相似的網域,並為網域信譽評分,以保護收件端的郵件安全。

4.導入資料外洩防護與郵件加密機制

資料外洩防護(Data Loss Prevention,DLP)和郵件加密(此加密並非郵件傳輸層協定加密,而是將郵件內文或附檔加密)是安全電子郵件閘道的進階功能,企業在處理機敏資料時,應將郵件內文或附檔加密寄出,待收信端接收到信件時再使用雙方約定的密碼解密,以確保資料的安全性,郵件加密解決方案的優點在於即使帳號被盜,駭客也無法輕易得知重要往來信件的內容。當組織成員忘記將重要信件加密時,資料外洩防護系統會即時阻攔並將其加密後寄送,以確保機敏資料安全性。

5.加強資安觀念與內部作業流程

由於 BEC 信件中沒有惡意程式,因此可輕易規避傳統防毒檢測機制,資安最重要的防線就落在員工身上,企業除了加強員工的資安意識外,在工作流程上可做調整,例如要匯款時務必再次用電話確認轉賬的款項及帳戶。此外,可建立合作廠商間的匯款帳號清單,當有匯款帳號不在清單內,需要多一道審核程序。

 

串聯雲端服務,抵禦 BEC 詐騙

沒有任何一個解決方案,可解決資安所有問題,再強大的防護系統,其實都有著未知的漏洞,BEC 攻擊就是最強而有力的例子。以往人們對於資安的觀念只著重於系統安全漏洞或惡意程式的偵測,殊不知以「人」為出發點的社交攻擊,最終還是需要仰賴人的智慧判別真偽,然而在最後判別的關卡前如何將風險降到最低,就有賴企業組織強化資安意識並落實到企業文化。本文提到的各種 BEC 防禦方式,無論是國內外的郵件資安廠商都有提供相對應的雲端服務,其優點在於可快速串聯各種防護功能,組成一個縱橫交錯的防禦體系。有些廠商還提供詐騙信分析服務,當使用者收到無法辨識真偽的詐騙信件時,可轉發信件到郵件詐騙分析中心,由專業人員協助判別,進而降低 BEC 詐騙的風險。

 

(本篇文同步刊登於網管人 原文網址:https://www.netadmin.com.tw/article_content.aspx?sn=1809060002)