31亿美元不翼而飞的惨痛教训！企业员工邮件屡遭冒用，引发供应商

摄影／洪政伟

透过电子邮件进行的诈骗行为，早已行之有年，我们比较熟悉的作法是透过网路钓鱼（Phishing）的方式，但其实邮件诈骗的手法不仅止于此。

在2016年6月美国联邦调查局（FBI）揭露的商用邮件入侵事件（Business Email Compromise，BEC，趋势科技称为变脸诈骗），就是一种侵入并冒用企业员工邮件帐号进行诈骗的行为，以累积的损失金额而言，竟高达将近31亿美元。而且，BEC人数最多的受害者是在美国，但诈骗範围更是涵盖全球100个国家，这些款项汇至79个国家的金融机构，而最主要的部份，都是流向位于中国与香港的亚洲银行。

为何商用邮件入侵事件会导致大量金额的损失？

到底什么是BEC？这种攻击的主要对象，是与国外供应商或业务有所往来的商务人士，尤其是那些经常定期进行电汇支付的人员。发动攻击时，对方会设法透过社交工程的手法或各种渗透进入系统、网路的技术，侵入上述这些人员的电子邮件帐号，并以此产生未经当事人授权的资金汇出行为。

就表面而言，这些被偷偷汇出款项的行为，与基于各种业务需求所採取的一般汇款作业，并没有差别，诈骗者在进行这些攻击时，会运用与受害者平时处理这些业务一模一样的作法，因此，汇出金钱的银行端也可能无法察觉异状。

商用邮件入侵攻击（BEC）目前有几种手法，首先是透过伪造的邮件、电话或传真，要求收件者汇款给另一个诈骗用帐户。

在另一种商用邮件入侵攻击中，是骇客入侵员工的电子邮件帐号，然后以此帐户要求另一家合作供应商进行汇款，但这里所付出的金额会提供给诈骗者所控制的银行帐户。

强化邮件使用的安全，强化内部流程与政策控管

对于这样的邮件诈财行为，趋势科技新兴资安威胁研究团队资深经理Ryan Flores认为，最初的起因，在于企业对于员工电子邮件帐户登入的保护较为不足，尤其是当前有许多公司，都开放员工透过网页邮件服务、行动邮件App来收发信，却没有强化相关的身分验证机制，例如，搭配双因素认证（Two-factor Authentication，2FA），而使得这些使用者电子邮件帐号遭到入侵的风险大增，之后诈骗者就冒用这些电子邮件帐号，进行各种金钱交易相关的联络作业，而使得公司的资金在员工没察觉的情况下，擅自转帐到入侵者的银行帐户。

整体而言，Ryan Flores认为BEC之所以发生，也突显了企业对于电子邮件太过于信任，未能进一步确认寄件者，是否就是当事人。

另外，Ryan Flores也提醒企业要注意公司代表性邮件帐户的管理。许多公司会在对外的网站上，列出负责联络的电子邮件帐号，方便客户提问。

而这种行之有年的作法，也可能造成所谓的「单点错误（Single Failure）」，因为一旦这样赋予过多沟通功能的邮件帐号被入侵，攻击者可以藉此接受到许多顾客的请求，同时，并且用它来发起更多诈骗行为，但企业可能浑然不知，因此，应避免这种作法，若要採用，也应该运用一些方法，不让有心人士能够搜集到这种邮件帐号

除了注意类似客服电子邮件信箱的管理，Ryan Flores也提到公司网站所公布的其他讯息当中，也有一些可能被滥用，而导致员工的网路身分遭假造的机会大增。

例如，如果公司的网站列出了企业本身的组织架构图、高层主管的姓名、经历简介，由于这些资讯的过度暴露，有可能被诈骗者所撷取、吸收，结果，更有利于冒用身分，而成为取信他人的工具，使得更多受害者更不疑有他，降低心防。

整体而言，若要有效防御商用邮件入侵的行为，Ryan Flores认为，企业必须从多个层面来加强控管与防护力道。最基本的部份，是需要设法提升端点安全与邮件安全，并要导入双因素身分认证的机制，降低帐号、密码遭到冒用的风险。

同时，企业也必须投入资安的相关宣导，教育内部人员与顾客，培养资安意识，而在工作流程与政策的实施过程中，需添加更多关于安全性的要求，确保作业程序的可靠度与真实度。

企业若不幸遭遇商用邮件入侵的威胁，除了要设法挽救之外，Ryan Flores特别提醒，应主动提报到电脑网路危机处理中心（CERT），或是当地的执法单位，使他们能够通知其他企业提高警觉，及早採取因应措施，不让更多人因无知而受害。