網擎資訊資安團隊持續追蹤商務電子郵件詐騙(BEC)手法演進,今年(2020)3月正當新冠肺炎(COVID-19)疫情呈現指數級成長時期,於亞太地區雲端資料中心即偵測到以繁體中文撰寫的釣魚郵件,假借人事處名義發送員工健康狀況調查,實則導向惡意網址騙取郵件帳密;同月份,美國聯邦調查局所屬網路犯罪通報中心(IC3)亦公開警告以COVID-19為主旨郵件切勿任意開啟。由此不難發現,詐騙者對於社交工程手法運用相當熟練,在熱門時事爆發當下即可快速發動,令人防不勝防。
網擎資訊產品經理張峰銘指出,現代BEC手法已演進為綜合型,觀察從客戶實際資安事件中攔截到的樣本,不只是在郵件內文中嵌入惡意連結,同時也利用現代工作者熟悉的Word、PDF等夾帶攻擊程式吸引點選執行。例如近年來網路攻擊者相當盛行申請可偽裝成國際知名企業的網域名稱,設計看似正常的主旨與內文,甚至是單位名稱、習慣用語等,皆相當精準,讓收件者誤以為是合法郵件,點選開啟隨即被植入後門卻不自知。
偽冒國際知名品牌網址發送釣魚郵件
儘管網域偽裝術並非新手法,張峰銘觀察,仍舊有許多人警覺心不夠而上當。畢竟攻擊者申請的是合法網域,同樣經過SPF(寄件者政策架構)發布與設定DNS解析,標準驗證機制也無法辨識判定為惡意,才會讓釣魚郵件成功機率更高。
根據網擎資訊資安團隊於亞太地區雲端資料中心偵測到的數據指出,詐騙郵件有超過八成以上來自不可信任的寄件者與網站。2020年第一季統計前三名依序為詐騙網址連結(48%)、惡意附檔威脅(12%)、不合法寄件者來源域名(36%)。網擎資訊合作夥伴Cyren威脅情資進一步分析,偽冒國際知名品牌網址發送釣魚郵件,包含Apple、PayPal、Facebook、Microsoft、Google等,其中尤以Apple占比為21%居冠,遙遙領先第二名的PayPal占比為10%。
除了郵件主旨利用熱門時事吸引點閱,偽冒國際知名的企業、社群平台發送釣魚郵件的數量也在增加。不管是時事議題或是偽冒,目的皆是為了騙取使用者信任點選惡意連結或開啟夾帶惡意程式的附加檔案,藉此竊取合法帳密,可利用來發動BEC,不至於被惡意網域檢測機制阻擋,提高成功的機率。
防詐騙情資交叉比對行為提高辨識
隨著BEC手法演進,網擎資訊旗下的MailGates BEC防護解決方案也持續強化偵測,整合MailCloud防詐騙智慧中心情資,透過郵件標頭(Header)防護政策與郵件行為分析等機制,提高辨識詐騙郵件的能力。IT管理者可彈性制定安全政策保護往來合作夥伴,一旦偵測到異常郵件行為,可依據管理辦法逕行標記警語或直接刪除。
MailGates BEC防護運用的郵件行為分析引擎,是基於MailCloud防詐騙智慧中心情資所制定的專家系統,可偵測電子郵件中關鍵特徵值,並交叉比對員工平時郵件往來的歷史記錄,以判別是否為可疑郵件。
張峰銘說明,實際上收發郵件須遵從RFC規範,只是在回覆位址時可允許手動變更,偵測機制根本難以判別真偽,於是詐騙者經常利用已竊取成功的合法帳密進行發送,迴避垃圾郵件的攔阻,並且在回覆位址欄位手動填入用來進行詐騙的信箱。「以RFC規範來看,不能偽冒之處只有發送郵件的主機,問題是必須查看Header的資訊才能得知,更何況詐騙者轉向採用合法郵件位址發送,任何資安防護機制皆無力發現,必須進一步深入分析行為特徵、郵件內文,才得以降低遭遇BEC的風險。」
中文語系機器學習演算輔助解析內文
除了經常被利用的Header,以相似的顯示名稱、網域位址取得收件者信任的手法也很常見。網擎資訊資安服務總監張世鋒指出,擁有IT背景的使用者或許可及時察覺異樣,但是多數用戶缺乏警覺心之下敏感度較低,此時即是工具可發揮之處,用以輔助增進辨識。
郵件安全防護機制發展已久,卻仍難以遏制BEC事件發生,張世鋒認為,企業得以接收外部檔案的管道,不外乎郵件、網站、實體連接埠,其中郵件可主動地觸及使用者,成本又低,正是攻擊活動中,利用來發送惡意程式進行滲透感染的首要管道。早期發送垃圾郵件的目的是為了炫耀技術,自從APT攻擊手法開始出現後,逐漸地轉向鎖定標的以竊取機敏資料,藉此獲取商業利益,可說是資安威脅的轉捩點。
另一方面,近幾年勒索病毒肆虐各種產業,即使是國際級企業也難以倖免,由此可發現攻擊者為了利益已是無所不用其極,商務郵件進行詐騙的手法勢必會持續地發生,只要使用者一次不留意即可詐騙取得龐大利益。在有利可圖的情況下,勢必無法被消滅。
攻擊手法不斷演進,郵件防護亦須持續強化偵測與辨識能力,網擎資訊在解決方案中已納入機器學習演算建立資料模型分析意圖,以及計算出郵件中所有特徵的風險數值,並且依據安全等級進行驗證,例如會計的郵件控管政策可設定必須全數經過檢查才允許放行,來加強防護。
事實上,業界現階段英文語系訓練完成的演算模型辨識度已相當精準,然而中文語系的實作卻並不容易,除非擁有在地化惡意郵件的大數據,同時具備中文斷詞技術,以實踐人工智慧應用拆解關鍵字、語意等特徵,並且賦予價值,若達到認定的詐騙意圖,則會被系統阻擋。張世鋒強調,這正是網擎資訊擁有自主研發能量的優勢,為了因應各個企業商業模式不同,網擎資訊亦提供可自行調整的字典檔,搭配已經訓練完成的人工智慧輔助解析,提升偵測精準度。