為了協助眾多遭受商務電子郵件詐騙(BEC)的企業還原真相,釐清遭利用來發動攻擊的弱點環節,加以改善或增添檢核措施,以免事故重複發生,中華數位除了自主研發郵件安全防護方案,亦提供BEC鑑識服務,幫助企業制定規範控管政策,全面性地降低資安風險。
中華數位產品策略處產品經理高銘鍾觀察,實際上BEC事件如同病毒威脅,不僅無法被滅絕,且手法持續在轉變,再加上近十年來詐騙者發動BEC活動變得更駕輕就熟、具規模化,皆是這類事件不減反增的主因。
他進一步指出,近期資安威脅熱門議題包含勒索、恐嚇、詐騙、BEC,彼此之間容易被混淆,中華數位提供的BEC鑑識服務定義較為明確,關鍵在於郵件中必須存在欺騙者、擁有公司內部不可能對外公開的資訊,才會被認定為BEC,若是基於公開資訊設計的釣魚郵件則屬於一般詐騙,代表詐騙者未掌握企業內部工作流程,則不具鑑識的必要。
先行定義遭受資安威脅類別
企業內部業務執行現況若未公開,外界根本難以得知,BEC詐騙居然可精準描述,表示內部出現資安漏洞而管理者不自知,中華數位特別提出BEC鑑識服務協助客戶釐清問題根源。一旦出現BEC詐騙郵件,不論收件者是否有上當,都必須得嚴肅看待。
既然詐騙者已經對企業內部營運狀況進行詳盡研究,勢必會不斷地嘗試,即使企業不幸已被騙取得逞也不會免疫,仍可能再次發生類似事件,除非釐清詐騙者得以成功的關鍵漏洞,並且加以改善或修補,才可能破除詐騙者為企業量身訂製的攻擊策略。
「前述提到容易被混淆的資安事件,這是我們在郵件安全領域累積的實戰經驗。」高銘鍾說。實際上勒索、恐嚇、詐騙、BEC手法皆雷同,BEC的關鍵問題是內部資訊洩漏;詐騙則屬於單純的社交工程手段;恐嚇是揚言若不付錢就發動癱瘓式攻擊,但不見得會有所行動;至於勒索的作法,參考近期FBI調查的現況,較恐嚇增加了火力展示,讓企業感受到壓力,擔心營運受影響而支付勒索金。
國際駭客組織一旦確立可成功獲利的方法後,勢必會相互模仿,並且依據擅長的技術發動攻擊,其中勒索須花費的成本可說最高,必須得先有所作為,讓資安事件影響正常營運後再要求企業支付贖金。然而恐嚇則不用,只宣稱即將要攻擊卻尚未有所動作。
為了獲取利益,攻擊者往往會交錯運用,企業得先行定義面臨的現況,以便制定回應的策略。可是企業IT管理者不擅長分析外部威脅手段,難以清楚釐清前述四種威脅差異之處,委由專業團隊協助才可有效杜絕後患。
專業團隊鑑識釐清弱點環節
從近年來中華數位協助企業處理BEC鑑識的經驗,高銘鍾發現,幾乎都包含電子郵件帳號入侵(Email Account Compromise),因此大多會從此處開始著手調查,若企業採用Gmail等雲端郵件服務,無法取得相關日誌,恐難以釐清真相。「欲防止BEC事件再次發生,必須搭配部署實體設備,無法僅仰賴員工防線。」
今年(2020)較特別的是BEC事件數量上半年就已經較去年同期增長了2.82倍,高銘鍾指出,主要影響因素即為COVID-19爆發,全球各地皆實施居家辦公,原本在辦公室可以找到人直接撥電話確認,居家辦公後聯繫方式只能仰賴手機,但是未必能即時接通,仍得仰賴郵件聯繫,使得確認程序較難以達到即時性,導致居家辦公時期BEC成功的機率較高。另一方面,居家辦公使用的電腦多為員工私人裝置,甚至採用私人信箱統一收取郵件,使得資安風險大增。
在疫情尚未出現之前,企業對於遠端辦公根本毫無準備,面對來勢洶洶的COVID-19全球大流行,被迫得先行實施居家辦公防疫,之後再調整控管政策來適應新常態。日前台灣某銀行海外據點所發生的BEC事件,損失45萬美元,即是居家辦公委由代理人執行匯款,未建立再確認程序才得以被詐騙者利用得逞。
「遭遇BEC事件不論是否有釀成損失,建議都必須交由專業團隊鑑識,才能夠找到資安防護的缺口,以免再次發生。至於受騙款項須仰賴金融防線,若能第一時間發現受騙上當,或許尚可在款項真正撥付之前進行攔截。」高銘鍾表示。BEC鑑識服務會協助檢查工作流程中的弱點環節,並且建議設立多重檢查,例如落實覆核機制,特別是大筆款項,依照公司規模與承受的風險,在規範中增加必須再次聯繫確認的項目。
設置防護機制輔助降低風險
經過BEC鑑識服務檢視工作流程之後,可搭配中華數位SPAM SQR郵件過濾方案搭配ADM(Advanced Defense Module)進階防禦模組,輔助預防人力所無法察覺的異常或是疏漏。
高銘鍾說明,最初發展ADM主要是為了防堵APT攻擊手法,如今已延伸至辨識BEC與詐騙的能力。BEC手法較具針對性,需客製化郵件內容,ADM模組可運行分析辨識攻擊慣用的策略執行判斷;若為詐騙手法則更多是無差別式攻擊,攻擊者通常會申請多個惡意網域或郵件帳號,則可基於中華數位累積的龐大資料庫輔助辨識。
如今BEC手法設計的郵件主旨與內文,極相似於洽談交易時提及的相關事宜,甚至也會模仿交易對象慣用語句,如此才可取得收件者的信任,僅檢查主旨、關鍵字等指標,無法發揮實質效果,因為透過現有可用的指標無從發現,必須從行為模式分析辨識。他指出,此即為中華數位的核心技術所在。
中華數位之所以能夠辨識BEC行為模式,主要是基於長期發展垃圾郵件防護累積的領域知識,以及解決方案部署位置的優勢,才有能力完整掌握企業商務郵件往來的行為模式,在第一時間發現異於常態,立即提醒使用者多加留意。例如郵件系統設定的白名單中偵測到詐騙指標,抑或是使用者從垃圾郵件中撈回,SPAM SQR會在這些類型的郵件主旨上特別標註,藉此讓使用者提高警覺心,避免爆發無法挽回的資安事故。