匯出鉅款才知道上當! BEC 商務電子郵件詐騙一再得逞的六個因素

在這些年來,駭客最容易賺錢的方法之一是勒索病毒攻擊。這些攻擊利用強有力的加密技術來讓受害者無法使用自己的檔案和資料 – 然後攻擊者再出售解密金鑰來換取無法追踪的比特幣贖金。

但是現在又有另一種高獲利的攻擊手法出現,特別是針對了企業。

變臉詐騙攻擊或稱為 變臉詐騙攻擊或稱為商務電子郵件入侵,簡稱 BEC) 替駭客帶來許多賺錢的機會,而這些攻擊所使用的複雜手法及創造出來的緊迫感讓它們特別難以防範。

BEC 的崛起

雖然企業現在越來越意識到了BEC詐騙攻擊,但這攻擊策略其實已經讓駭客賺了好幾年。趨勢科技的研究報告指出,全球企業在2016年遭遇的BEC詐騙攻擊平均造成了14萬美元的損失

在過去,BEC詐騙被稱為man-in-the-email詐騙,駭客利用看似真實的郵件來讓受害企業進行匯款。正如趨勢科技的研究人員所指出,這些攻擊可能以各種不同形式出現,像是假發票、CEO詐騙攻擊、帳號入侵或偽造,甚至是傳統的資料竊取。

而以駭客所賺到的錢以及他們攻擊成功的案例來看,BEC詐騙在可見的未來還是會繼續地發生。

BEC 詐騙生意有多大?

駭客在兩年前的BEC詐騙攻擊平均造成14萬美元的商業損失,而這些網路犯罪分子一直以來都在精進自己獲利的能力。

到了2018年7月,美國聯邦調查局的網路犯罪投訴中心報告指出,BEC詐騙所造成的損失增加了136%,特別是在2016年12月到2018年5月之間。這意味著BEC詐騙攻擊已經造成美國企業達125億美元的損失,不管攻擊是來自國際還是國內。這些損失及駭客所賺到的錢比趨勢科技在「典範轉移:2018年資安預測」報告內的預測還要多出30億美元。

BEC 詐騙難以防範的六個因素

隨著攻擊成功次數的增加,讓駭客賺取更多金錢也造成了更多受害公司。在這樣的情況下,企業高層和IT主管不僅要意識到這些攻擊正在發生,還必須要了解防護此類攻擊的困難性。這樣一來,企業才能採取主動行動,來更好地保護其郵件系統、重要資料、財務和其他資產。

讓我們來看看導致BEC詐騙攻擊防範困難的一些因素:

  1. *使用複雜的社交工程攻擊
    *
    在BEC詐騙中,駭客不只是用一套說詞來製作泛用性的電子郵件就希望可以欺騙他們的目標。相反地,他們會花時間進行複雜的社交工程攻擊。讓他們可以選擇提高目標開啟和回應郵件機會的攻擊方式。
  2. *特製的電子郵件
    *
    由於使用了強大的社交工程技術,駭客可以製作出假以亂真的電子郵件,內容包含了目標的名字,甚至是企業內的其他人。例如,會計可能會收到來自公司執行長要求匯款的偽造詐騙郵件,使用了執行長的郵件地址甚至是執行長的郵件簽名檔。因此,他就更有可能會去轉出資金,因為郵件看起來非常真實。
  3. *沒有使用惡意連結或附件
    *
    雖然駭客的背景資料和基礎工作進行的很深入且精細,但送出的郵件卻相當簡單。BEC詐騙依賴於帶有強烈訊息、具有說服力的郵件,這代表著缺乏用來識別可能攻擊的常見可疑元素。
    「由於這些詐騙沒有使用任何惡意連結或附件,它們可以躲避傳統解決方案,」趨勢科技指出。
  4. *訊息內的緊迫感
    *
    除了利用社交工程來包含正常姓名、地址及其他細節來欺騙受害者外,駭客還會在BEC詐騙郵件內加入強烈的緊迫感來讓攻擊更容易成功。趨勢科技研究人員分析許多郵件後發現,它們都包含了強烈的用語如“緊急”、“付款”、“轉帳”、“要求”及其他可以加強整體訊息的詞語。
    趨勢科技解釋說:「被用在BEC詐騙內的緊迫感、行動要求或財務影響讓目標落入了陷阱。比方說駭客會偽裝成合作廠商、律師事務所代表或甚至是執行長來聯繫公司員工或高階主管,操縱目標員工/高階主管來秘密進行資金的轉移。」
    商業電子郵件入侵攻擊利用了社交工程和強烈用語。
  5. *各種不同方式來針對不同的受害者
    *
    此外,攻擊者建立了各種不同的攻擊範本,讓他們可以根據社交工程研究來用最有可能成功的方式針對目標。比方說,想攻擊公司執行長的駭客可能會偽裝成合作廠商來為逾期發票要求付款。想針對一家公司發動攻擊的駭客可能並不會偽裝成外部廠商,而是偽裝成需要個人身份資料的內部人力資源員工。
    有了這麼多不同的攻擊範本,駭客有可以精心挑選來製作出最假以亂真的郵件,讓詐騙成功的機會更加提高。
  6. *進一步利用入侵帳號:繼續循環下去
    *
    最後且不幸的是,受害者被騙進行匯款並不代表著BEC詐騙的結束。一旦帳號被入侵,就可以被用來進行進一步的BEC詐騙,將釣魚郵件或其他BEC詐騙郵件寄給入侵帳號通訊錄上的其他人。
    根據美國聯邦調查局IC3的報告,駭客也會利用受害者來作為“錢騾(money mule)”。這些是來自愛情詐騙或勒索詐騙的受害者,駭客用來開設BEC詐騙所需的新帳戶。雖然這些帳戶可能只開啟短短的時間,卻已經替駭客帶來更多賺錢的機會。
    資安專家認為BEC攻擊並不會在可見的未來減少。除了使用者必須增強安全意識之外,企業也應該使用先進的安全解決方案來防止BEC詐騙入侵。趨勢科技產品採用了先進的策略(如用人工智慧來檢測偽造的電子郵件及用機器學習來加強整體安全防護),會是相當有幫助的工具。

想了解更多企業如何防禦BEC詐騙的資訊,請馬上就聯繫趨勢科技的專家。

@原文出處:BEC is Big Business for Hackers: What makes these attacks so hard to prevent?