在政府大力推動下,資安幾乎成為今年(2018)IT產業最熱門的話題,然而其中最常被輕忽的威脅,當屬商業電子郵件詐騙(BEC,或為「變臉詐騙」),造成的金錢損失往往遠高於備受關注的CryptoLocker、WannaCry等加密勒索軟體。
實際上,商業電子郵件詐騙屬於網路犯罪範疇,一般企業並非檢調機關,所以通常較不清楚事態嚴重性。中華數位產品策略處產品經理高銘鐘說明,商業郵件詐騙並非新興手法,以往大多稱之為CEO詐騙、鯨釣、冒名電郵等,直到美國聯邦調查局(FBI)旗下的網路犯罪投訴中心(IC3)接收案件後予以整理,才在2015年定義出此類別。初期主要是針對執行電匯相關人員的複雜詐騙,2017年起開始利用可取信於受害人的郵件帳號或相關資訊,與其互動後行騙,抑或是透過社交工程手法或電腦入侵技術,最終達到非授權轉帳的目的,皆即屬於此範疇。
趨勢科技在2018年度資安預測報告中引述美國聯邦調查局統計數據指出,目前全球已有超過一百個國家出現商業郵件詐騙通報案例,已知公開的損失不僅未被控制,更是逐年翻倍,甚至在今年極可能累計全球高達90億美元的損失。
高銘鐘從協助客戶處理的資安事件中亦發現,僅今年第一季,客戶中就已有六家公司遭受商業郵件詐騙。他觀察,受害單位最擔心的是新聞曝光後恐損害商譽,甚至造成股價波動;或是實際損失較輕而未報案,也不願向外界透露。除非確有需要尋求檢調單位公權力介入協助跨國調查,以求將損失限縮到最小範圍,否則多數企業寧願私下付費聘僱資安專家處理。如此一來,也無怪乎商業郵件詐騙盛行多年,多數企業卻是知之甚少。
郵件詐騙極具針對性不達目的不罷休
以往多數企業對商業郵件詐騙事件的認知較為薄弱,僅單純以為是垃圾郵件攔阻未發揮效果,誤信了詐騙郵件只能自認倒霉。高銘鐘指出,「經由我們深入調查發現,商業郵件詐騙亦屬於針對性攻擊的一環,通常是有完整的戰術、工具、程序。從新聞揭露的事件中也可發現,被詐騙成功的企業不是毫無資安建置的小公司,並非單純靠技術就得以避免。」
專業的詐騙者會先研究標的企業所有外部公開資訊與探查內部資訊系統。從已發生的事件來看,大多是發生在主管出差期間,冒名發送匯款郵件。「之所以能夠精準掌握主管行蹤,有可能是透過社交媒體,或郵件帳密被盜取。發動方式可能未必透過惡意程式,但一定得運用社交工程,利用人性的習慣、好奇心、害怕等弱點,設計詐騙郵件。」高銘鐘說。
已經針對攻擊標的進行多方研究的詐騙者,即便首波發動未能成功,也不會因此放棄,相當類似於APT攻擊。因此就算察覺到詐騙事件而最終未被得逞,企業都不應該輕忽,並非被資安機制偵測攔阻後即可高枕無憂,相反的,可能內部已有安全漏洞卻不自知,才會被詐騙者鎖定滲透工作流程。若已發現類似的跡象,IT管理者仍有機會進行調查修正,防患於未然。畢竟詐騙者已經耗費時間成本研究目標對象,勢必會持續以最低成本方式發送詐騙郵件,不達目的不罷休。
釐清弱點或漏洞避免類似事件再發生
已遭商業郵件詐騙得逞的企業為避免被外界得知,通常會先尋求IT廠商協助,高銘鐘歸納上門尋求協助的客戶心裡的疑問,不外乎詐騙郵件究竟能否被偵測發現、未能被發現的原因,以及為何會成為騙徒鎖定的對象。
其實面對商業郵件詐騙,無法僅仰賴資安技術,工具本身只能輔助,無法全面涵蓋。「多數人對資安的思維是導入建置一套方案解決所有問題,事實上,資安具有立體構面的特性,若僅從技術角度切入,只能降低一定程度的風險,如果根本不在意工作流程與管理策略,再強大的資安技術方案也無法防止事件發生。」高銘鐘強調,因此中華數位雖擁有自主研發技術能力,近年來亦積極提供顧問服務,即是為了協助客戶從根本上解決資安問題,而非只迷信依賴特定技術。
事件爆發後,首要任務應先聯繫往來的銀行,或許有機會攔截降低損失。另一方面,企業內部至少須整理出郵件詐騙事件相關資料,例如簡單描述問題發生的緣由、保留詐騙郵件的檔頭與本體資料、匯款的資料、評估與確認損失範圍等。之後交由專業鑑識業者介入調查,以釐清內部系統被滲透狀況與改善措施,進而強化相關人員資安意識,最重要的是找到詐騙成功的關鍵點,以免事件再次發生。
調查經驗累積資料偵測攔截詐騙郵件
就資安事件的調查流程來看,首要步驟即是蒐集大量日誌並執行分析,中華數位提供服務的方式,可先透過遠端方式進行,也就是由客戶整理事件相關資料,以便執行前期分析,若發現有疑慮則須進一步檢查特定主機,再指派資安技術人員到現場進行大規模調查,運用Active Directory網域服務主機派送執行檔到各個端點進行資料蒐集,統整到資料分析伺服器由資安技術人員進行判讀。
|
▲五種慣用的商業郵件詐騙內文,匯款前提高警覺心,以防範社交工程攻擊。(資料來源:中華數位) |
「其實中華數位提供的資安事件調查流程較同類型廠商並無二致,差異主要是在郵件安全領域累積十多年的深厚經驗與知識,以及內部培養的資安研究團隊,才是關鍵的核心優勢。」高銘鐘說。搭配中華數位SPAM SQR解決方案提供的防護機制,可偵測過濾垃圾郵件、病毒、APT郵件等攻擊行為,以及平台上增加進階防禦模組(Advanced Defense Module),除了運用雲端沙箱模擬分析夾帶的檔案,亦可基於詐騙資料庫來攔阻社交工程郵件。
較特別的是,SPAM SQR系統具有類似社交工程演練機制,可利用已被攔截的郵件來發現內部資安意識不足的員工。當使用者查看遭攔截的郵件時,可藉由預覽開啟,SPAM SQR會採用保護框架來執行,讓使用者確認內文後再送回收件匣。過程中會記錄使用者所有點選操作行為,並且產生統計數據,藉此發現資安意識不足的員工予以告誡提醒。一旦經由統計報表顯示特定使用者明顯欠缺資安意識,且遭受詐騙的風險程度較高,則可設定往來郵件必須通過審核才可放行,藉此建立更嚴謹的防範機制。