變臉詐騙(BEC)將深入基層職員,員工沒看穿的騙局,造成的損失可能比病毒還大!

 
一封信騙走一棟房子!本部落格先前提到的案例指出變臉詐騙 (BEC) 竟讓受害者匯出 531,981 美元 (約 1,637 萬台幣) 。至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。

然而一旦掌握了大型資料外洩事件的更多詳細資訊之後 (比如: 2010 至 2014 年間,網路犯罪集團專門鎖定 LinkedIn 個人檔案當中含有「Esq.」(律師) 尊稱的使用者,使得多家法律事務所遭到駭客入侵; 2014 年Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。),新一代的變臉詐騙將可能深入企業基層人員,比如假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。

趨勢科技2019 年資安預測報告「映對未來:對抗無所不在的持續性威脅」指出未來變臉詐騙攻擊或稱為商務電子郵件入侵 (Business Email Compromise,簡稱 BEC)攻擊數量將持續攀升:「變臉詐騙的對象將轉向比現在低兩階的員工」。該報告指出:

變臉詐騙 (Business Email Compromise,簡稱 BEC) 依然是歹徒向企業詐財非常強大且獲利豐厚的犯罪手法。我們相信,由於企業 CXX 高層主管遭到變臉詐騙的新聞經常在媒體上曝光,因此, * _網路犯罪集團未來將降低其攻擊對象的層級_* 。例如,網路犯罪集團可能會轉而攻擊 CxO 的秘書、助理,或是財務部門總監、經理之類的職務。

然而,這類風險很可能比預測的更高。

2014 年爆發了多起超大型資料外洩事件。Yahoo、Starwood 和 Facebook 皆外洩了數億筆使用者身分資料。犯罪集團掌握了這麼多的身分資料,等於挖到了一大筆寶藏,進而更容易描繪出多數大型企業的組織架構。這些資料提供了大量且通用格式的身分資訊,讓犯罪集團很容易套用大數據分析。

從 Yahoo 和 Starwood 外洩的資料當中,犯罪集團能分析出哪些網際網路使用者經常旅行。透過旅行者的個人檔案,就能知道哪些使用者擁有公司電子郵件帳戶,以及他們任職於哪家公司。而 Facebook 的資料則能讓犯罪集團分析出某家公司員工彼此之間的社交關係。若再配合 LinkedIn 的付費訂閱服務,網路犯罪集團就能詳細掌握企業的組織架構、上下級關係以及升遷路徑。。

至目前為止,絕大多數的變臉詐騙 (BEC) 攻擊都是假冒執行長 (CEO) 名義要求財務長 (CFO) 開立支票或核准某筆發票的匯款。然而一旦掌握了 2014 年大型資料外洩事件的更多詳細資訊之後,新一代的變臉詐騙將可能假冒遠端分公司主管的名義,要求總公司 IT 部門提供某位員工系統管理權限。此時,IT 人員或系統管理員將收到一封類似如下的郵件:

嗨 Ted, 我的團隊成員 Ffloyd Farkle 已突然離職,另謀高就,其職務將由 Joseph Needham 接手。但由於 Ffloyd 之前是我們這邊的系統管理員,他一離職,變得沒人能幫我修改團隊成員的權限。可否麻煩你幫我設定讓 Joseph (員工編號 123456) 擁有跟 Ffloyd 之前一樣的管理權限?申請表我已送出,但流程的處理速度似乎有點慢,而這一季眼看著就要結束。還麻煩幫忙一下,謝謝你。 Chuck Itall

在這範例當中,Ffloyd 確實是分公司的系統管理員,但他並未真的離職。Chuck Itall 也是貨真價實的分公司主管,只是他的帳號已遭駭客暗中入侵。他目前正在出差,且未來一兩天內將聯絡不上。Joseph 也是一位正牌員工,只是他的帳號也遭到駭客入侵,但他剛好也不在公司 (從他的 Facebook 貼文來看應該是正在渡假)。而 Ted 則是總公司 IT 部門的系統管理員。

Ted 面臨了一項難題,他不曉得是否該答應對方的緊急要求並且讓申請表的流程跑完,或是忽略這項緊急要求並引來分公司主管 Chuck 的一番怒火。若您是 Ted,您會答應對方的要求嗎?

隨著犯罪集團分析及更新其身分資料庫的效率越來越高,資料的準確度也將不斷提升。如此一來,犯罪集團就能更深入掌握攻擊目標的組織架構,發動更具針對性的網路釣魚攻擊。這樣的情況已發生在某些特定產業。2010 至 2014 年間,網路犯罪集團專門鎖定 LinkedIn 個人檔案當中含有「Esq.」(律師) 尊稱的使用者,使得多家法律事務所遭到駭客入侵。在這些案例當中,網路犯罪集團光是利用垃圾郵件和網路釣魚(Phishing)就能輕鬆駭入受害企業。這樣的結果,讓一些企業併購的機密和專利申請中的智慧財產陷入外洩的風險。而 2014 年的多起重大資料外洩,讓網路犯罪集團的攻擊目標變得更廣。

企業可採取一些步驟來縮小自己的受攻擊面。首先,負責掌管系統管理權限配發的人員在面對一些突如其來的緊急要求時,務必特別小心處理。此外,企業應建立一套可靠的機制來確認這類要求,例如:訂定使用者申請系統管理權限的流程、設置一套適當的稽核與記錄程序以便及時獲得警示通知並且供日後分析參考。