Browsing: BusinessEmailCompromise

    企業的管理層不單只人工高,就連他們的電郵帳戶亦特別值錢,事關黑客可以從中了解公司運作、客戶資訊,更可以用來「命令」下屬匯款,進行商業詐騙攻擊(Business Email Compromise,簡稱 BEC)。俄羅斯就有黑客在暗網上出售相關帳戶登入資料,包括CEO、CFO、公司主席、總裁等等,開價由 100 美元至 1,500 美元,都算收得平喎! BEC攻擊主要是透過假冒身份而獲取收件人的信任,用不同的藉口來騙取企業相關資訊或指示員工匯款,或打開惡意軟件等行為。其厲害之處,是可以借助上司的權威,令下屬不敢怠慢,務求盡快幫上司解決問題,例如即使對匯款指示有懷疑亦不敢求證。何解話 100 美元至 1,500 美元都算平?先來看看下列兩宗新聞。 1.香港警務處網絡安全及科技罪案調查科發表的 2020 年首季行動報告,就指出曾發生 153 宗商業電郵騙案,其中一宗更成功令公司員工將 1,800 萬港元匯出。 2. 去年 9…

    相信大家都收過欺詐電話,要用電話呃人,要花時間與對方溝通,但現今生活節奏急速,很多人都會 cut 你線,要成功得手,絕對唔容易。欺詐電郵就唔同,騙徒首先會對目標人物的背景有所掌握,也會精心製作電郵內容,並以冒充的身份把電郵發出,一般用戶收到這些電郵,都難以判斷真假。 傳統安全方案束手無策 事實上,電郵仍然是現今最大安全攻擊途徑。原因很簡單,發動攻擊成本不大,因為你是不能拒絕攻擊者發送電郵給你。況且傳統的電郵安全方案也好一段時間沒有技術革新,依然側重於防病毒、防垃圾電郵等功能,把懷疑有問題的 Email 隔離就了當。面對更新型的欺詐電郵攻擊,傳統的電郵安全方案缺乏技術及能力處理,可以說是有點手束手無策。 BEC 個案平均損失近百萬港元 Business Email Compromise(BEC)是近年出現的名詞,指利用欺詐電郵手法(或附有網絡釣魚攻擊)的新型威脅。 BEC攻擊者大多數會冒充公司外國供應商、老闆、公司高層、公司員工、公司律師(會計師)等… 欺詐目標大多數是公司的財務或高級管理人員,最終目的是以不同的藉口要求匯款,令公司蒙受重大金錢損失。據統計,每個案平均損失近百萬港元,這絕對是大茶飯。 期待最新技術杜絕 BEC BEC 之所以難以防止,因為它利用大眾的疏於防範的心理,讓受害者掉入社交工程(Social Engineering)陷阱。在今天高度透明的商業社會,要找出財務部門(或公司高層)的電郵地址並非難事,這也意味著一個一個精心炮製的欺詐,隨時可以用電郵發動。在「道高一尺魔高一丈」的網絡安全環境中,我們總不能單單每日叫員工提高安全意識。新一代的電郵安全系統,終於包含了BEC 防護功能,期待最新技術能把這類超級大殺傷力的欺詐電郵威脅徹底清除。