close
豐田子公司因受詐騙攻擊而導致10萬日圓損失,是上週的大新聞。其遭受的攻擊方式,即是前一篇【這些年各大資安事件帶來的Lessons Learned】一文,提到的變臉詐騙(BEC),也是資安常見攻擊手法之一。簡單來說這是一個攻擊者為了讓企業把款項匯入所控制的帳戶,而設計的精心騙局。
根據FBI’s Internet Crime Complaint Center(IC3)於2019年4月發佈的互聯網犯罪報告指出,BEC受害者在2018年間損失超過12億美元。美國財政部金融犯罪防制署(FinCEN)在7月發布另一份報告指出,BEC SAR(可疑活動報告的簡稱)申請量逐年增加,已從2016年的1.1億美元平均增加到2018年的每月3.01億美元以上。
其中又以製造業或建築業的公司是電子郵件帳戶妥協攻擊的最常見目標。
五種常見的BEC情境
根據美國聯邦調查局(FBI)犯罪投訴中心(Internet Crime Complaint Center,IC3)指出,BEC有5種常見的情境
針對長期合作供應商,寄出發票要求匯款至替代性詐欺帳戶。
通常先取得組織內高階人員電子郵件帳號,假借高階人員帳號發出電子郵件給內部財務人員要求匯款至詐欺帳戶。
3.入侵員工電子郵件
入侵員工電子郵件後取得該帳號控制權,以員工身份發郵件要求客戶重新匯款一次,但附上的匯款帳號卻已被換成詐欺帳戶。
4.假扮律師身份
詐騙者會在與被害者聯繫時自稱是律師並迫使他們轉帳至詐欺帳戶
5.偷取資訊
詐騙郵件會發出內容含工資表或稅務表的內容,要求受害者填寫個人資料,藉此偷取重要資訊。
BEC如何鎖定並利用受害者
1.欺騙(Spoofing)
使用看起來合法的郵件地址,讓受害者以為這是一封正式郵件。例如CEO的郵件地址為John@gmail.com,詐騙者會創造一個類似的郵件地址,例如J0hn@gmail.com來發信,讓收件者不疑有他有執行了郵件中的要求。
鎖定特定個人或某機構的特定員工及其社群媒體帳號,以電子郵件的方式,假冒該公司或組織的名義寄發難以辨真偽之檔案,誘使員工進一步登錄其帳號密碼,進而取得重要資訊。
社交工程指的是通過與他人的合法地交流來使其心理受到影響,使他們採取特定行動或者是透露一些機密資訊的方式,例如釣魚式攻擊、電腦蠕蟲、垃圾郵件、惡意軟體 。由於社交工程利用的是人類的天性,例如好奇心、同情心,恐懼心等情感,因此誘使人們採取駭客所期待的行動成功率非常的高,這也是APT攻擊流程中的重要環節。
建議的保護方式
為了讓員工不被BEC欺騙,建議組織實施更嚴謹的供應商流程管理,例如使用多種方法檢查和驗證付款資訊的修改、當發現付款資訊變更時需面對面/或電話確認…等。另外建議可以再給予員工的預防性策略、反應措施以及危機處理觀念還包含
- 🅐使用輔助方式或雙因子認證來確認帳戶資訊更改的要求。
- 🅑確保電子郵件中的URL與其內文所提的業務相關聯。
- 🅒對於網域名稱(Domain Name)可能有拼寫錯誤的超鏈接提高警覺。
- 🅓不回應需要提供登錄憑證或個人資訊的電子郵件。
- 🅔定期監控個人財務賬戶是否存在違規行為,例如確認收款方是否有確實收到款項。
- 🅕保持系統上所有軟體Patch為最新更新。
- 🅖驗證用來發送電子郵件的郵件地址,尤其是在使用移動設備或手持設備時,確保發件人地址電子郵件地址與其來源相同。
- 🅗確保啟用員工電腦可以查看完整的電子郵件內容。
BEC是一種不斷演變的威脅,其發生頻率及導致企業所造成的損失金額更是逐年增加。
然而近期詐騙的趨勢又有了新的方向。由FBI IC3發佈戀愛詐騙(Romance Fraud)警告指出,犯罪份子會利用線上約會網站尋找獵物,欺騙人們的感情與金錢,以2018年來說,該案件已成為投訴案件的第一名,損生金額則高居第二。看來變臉詐騙也開始結合電話詐騙的手法,試圖想要展開新的經營方向了。
文章標籤
全站熱搜
留言列表
{{ article.title }}