【必勝組合】攔截BEC商業電郵詐騙 防護工具、員工培訓以外的必備因素
研究發現,71% 企業或機構曾在過去一年遭受商業電郵詐騙攻擊 (BEC),而美國 FBI 在過去一年接獲的 19,369 求助中,計算中企業或機構的累計損失高達 18 億美元,屬 2020 年最昂貴的網絡攻擊。而要阻止 BEC,不能單靠電郵防護系統或員工,更重要是結合行政管制政策,全方位堵塞漏洞出現。
商業電郵詐騙攻擊 (Business Email Compromise) 的攻擊手法大致可分為三類,分別是假扮寄件人,或盜用帳戶進行各種詐騙手段,例如轉帳金錢、開啟釣魚網站連結或打開惡意軟件。BEC 相較一般釣魚電郵的不同之處在於它並非漁翁撒網,而是有目標地攻擊企業或機構內的職員。為了假扮成公司內的高層或員工,BEC 罪犯通常會潛伏在內部網絡或電郵系統內一段較長時間,以了解內部架構、生意夥伴的合作業務等情報,甚至偽裝目標的慣常用字,提高詐騙電郵的成功率。以涉及金錢轉帳的騙案為例,日本媒體 Nikkei 便曾被騙 2900 萬美元、豐田子公司豐田紡織亦損失了 40 億日圓,難怪會成為 2020 年最昂貴的網絡攻擊,不過在今年應已被勒索軟件所取代。
回說 BEC 攻擊,如果電郵為偽造、盜用帳戶又或內藏惡意連結、軟件,先進的電郵防護工具的確有可能攔截,因為系統除了可以比對惡意連結、伺服器位址、病毒記錄資料庫外,亦可根據使用者的行為有否異常,如身處國家或登入帳戶時間作為分析基準。不過如不屬上述情況,電郵防護軟件並不會歸類為可疑電郵而放行。而在員工方面,定期的安全意識培訓及有時間性的實際個案,的確可提升識破 BEC 的成功率,但始終黑客有機會假扮成公司高層,即使下屬有所懷疑亦未必敢驗證,依然有漏洞存在。
網絡安全專家就指出,行政管制政策便可有效堵塞防護工具與員工安全意識以外的漏洞。專家解釋,涉及金錢轉帳的受害企業,大多賦予了公司高層或職員過大財政管理權力,令他們可以單獨進行大額金錢轉帳而毋須取得多重授權。專家認為必須對支票、電匯或任何其他渠道支付設立嚴謹的授權政策,下屬便毋須擔心因額外驗證而觸怒上司。如果能結合先進防護工具、有效率的安全意識培訓及嚴謹的行政管制措施,BEC 攻擊便不能輕易達成。
