資訊悅報 Vol.14|Bitdefender: 七種針對您組織的商業電子郵件入侵(BEC)攻擊手法

部落格文章出處:https://www.bitdefender.com/en-us/blog/businessinsights/seven-types-bec-business-email-compromise-attacks

冒名詐騙的手法其實已存在數千年。想像一個「失散多年的親戚」突然出現,聲稱要繼承龐大遺產;或是一位「江湖郎中」憑著可疑的醫學頭銜兜售神奇藥方。隨著電子郵件、社群媒體,以及近年來人工智慧(AI)的普及,讓任何人更容易假扮權威人士。

深度偽造(deepfake)技術更是推波助瀾,駭客能透過數位媒體模仿他人的外貌、聲音與人格特質。根據美國聯邦調查局(FBI)統計,2013 年 10 月至 2023 年 12 月這十年間,商業電子郵件入侵(Business Email Compromise, BEC)攻擊已讓美國組織損失超過 550 億美元,且風險仍持續攀升。

常見的 BEC 攻擊類型有哪些? 

現今的 BEC 攻擊手法多元,攻擊者透過各種冒用技術,誘騙員工採取「看似緊急」的行動,例如支付偽造發票、提供未經授權的機敏資訊存取權限,甚至為第三方購買禮品卡或設備。

瞭解這些攻擊如何發生、目標鎖定誰,能幫助企業教育員工,在造成高額損失之前有效阻止 BEC 威脅。以下逐一介紹七種類型的攻擊手法:

1. 執行長詐騙(CEO Fraud)

最常見的企業電子郵件攻擊之一,是惡意攻擊者偽裝成執行長(CEO)、財務長(CFO)或其他高階主管,透過偽造或遭入侵的電子郵件帳戶行事。冒充者通常會要求人資部門的員工提供敏感資訊,或指示財務人員發起看似正當的電匯。之所以有效,是因為它利用既有的階級體系以及人們對權威的敬重。

在這個案例中,威脅者假扮執行長,要求對方對所提供資訊或已匯出的款項保密。這會讓加害者在詐騙被發現前有更多時間,增加貴組織款項無法追回、電匯無法即時攔阻的可能性。

2. 帳號入侵(Account Compromise)

攻擊者也可能利用被入侵的電子郵件帳戶,向其他無辜使用者散播更多商業電子郵件詐騙攻擊——例如兩位會計師之間的請款請求。他們也可以透過這個合法的管道散播惡意軟體、勒索軟體和其他惡意內容。

3. 供應商冒充(Vendor Impersonation)

攻擊者常常冒充你的組織所合作的供應商或夥伴,寄送看似真實的假發票,內含只有你和供應商才會知道的機密資訊。該請求通常不是新的、不會引人懷疑,且可能是根據既有排程的定期要求——使其非常難以察覺與阻止。金額可能和你平常支付的一樣,但這次他們要求將款項匯入一個新的商業帳戶,而該帳戶實際上由網路犯罪分子暗中控制。擁有次要通訊管道(例如電話或通訊應用程式)或秘密通關密碼可讓你在感覺有異時確認請求,但許多使用者僅依靠電子郵件與供應商或夥伴往來。如有疑慮,請拿起電話,撥打你手上已有的聯絡人電話號碼。

4. 律師冒充(Attorney Impersonation)

冒充律師的攻擊者利用人們對法律後果的天生恐懼。說真的,上次有律師突然聯絡你並帶來好消息是什麼時候?冒充者要求保密也很有用,因為這通常會阻止目標與任何其他人討論該通訊,包括可能知道情況異常的同事。當有人聲稱自己是律師並提出要求時,人們往往會立即配合。

5. 薪資轉向(Payroll Diversion)

商業電子郵件詐騙也可能劫持你的薪水。薪資轉帳詐騙會偽造員工的電子郵件帳戶,正式向應付帳款部門提出變更直接存款資訊的請求。新的帳戶屬於詐騙者,等到員工發現薪水不見時,錢很可能早已被轉走。想像一下若大規模進行,這類攻擊能帶來多大的利益。

6. 資料竊取(Data Theft)

金錢並非商業電子郵件詐騙的唯一目標。冒充者也會索取敏感資料,以便用來製作偽造信用卡、銀行帳戶及其他身分詐騙。人力資源員工特別具有吸引力,因為他們掌握著大量員工個人資訊——從銀行資料到地址再到社會安全號碼,一應俱全。

7. 禮品卡詐騙(Gift Card Scam)

商務電子郵件詐騙中最低等的一種就是禮品卡詐騙。有人冒充執行長或其他高階主管,向員工發出要求購買禮品卡以用於客戶贈送、回饋計畫或其他抽獎活動的請求。訊息會寫著「只要先提交報支單,我們會把錢還給你。」但在這件事走完適當流程並被標記為需審核之前,禮品卡早已被兌換,款項也不翼而飛。這些攻擊者就是倚賴人們無法對老闆說「不」,而這招通常有效。

如何偵測並阻止 BEC 攻擊?

科技讓假冒變得前所未有的容易,特別是當攻擊者假扮 CEO 或直屬主管時,員工多半選擇「相信」而非「質疑」。因此,資訊共享與員工教育至關重要。

立即聯絡我們