BEC电子邮件诈骗攻击事件出现新手法，骇客窜改网页信箱自动转寄规则来收集情资，企业侦测机制可能难以察觉

达距办公如今已成为常态，BEC电子邮件诈骗变得更加猖獗，骇客企图借由窜改部分寄件设定，让使用者不知道自己的电子邮件账号已遭到滥用。

在11月25日，美国联邦调查局（FBI）发布了警告，呼吁企业要留意电子邮件的用户端应用程序和网页版，两者传送邮件的规则是否一致。因为，他们在8月发现，骇客利用受害企业只检查电脑版应用程序的邮件规则是否符合公司政策的特性，在入侵员工的电子邮件账号后，借由变更网页版本的自动转寄规则，冒用该名员工的身份来进行BEC诈骗。

根据FBI揭露的资料，这个骇客组织至少在8月发动2起BEC攻击，不过，他们并没有进一步公布攻击者的身份。FBI举出的第1个是针对美国医疗设备公司，骇客借着这家公司刚升级网页版邮件系统之际发动攻击，他们疑似在该公司网页版邮件系统建立了自动转寄的规则，来掌握情报，进而模仿另一家知名国际厂商，建立与其名称相仿的网域来行骗。但因为公司只对于企业内部的工作站电脑上的收信软件，进行相关的信件规则管制，而未察觉上述骇客滥用网页版邮件自动转寄规则的情况，结果该医疗设备公司总共被骗走175,000美元。

而该组织的另一起BEC邮件诈骗攻击，则是锁定制造业下手。骇客在受害企业的网页邮件系统上，建立了3个自动转寄规则，来暗中收集企业的交易情报。其中的1个规则是将含有特定文字的信件，同时转寄到骇客的电子邮件信箱，这些特定文字包含了“银行（Bank）”、“付款（Payment）”、“发票（Invoice）”、“电汇（Wire）”，或者是“支票（Check）”等；而另外2个规则，则是指定公司以外的信件都要转寄给上述骇客的信箱。不过，这家制造业的受害情况，FBI并未进一步说明。

FBI表示，这种滥用网页版邮件信箱自动转寄规则的手法，不只在公司只列管工作站电脑上收信软件的情况下，有机会能让骇客规避企业业的异常行为侦测机制，进而收集特定情报，并用来进行BEC诈骗。同时，骇客还有可能借此找到相关连网设备的弱点。而为了避免留下记录，他们也会利用这类规则来删除相关的记录。因此，FBI呼吁企业，工作站电脑的邮件软件与网页邮件系统，应该要适时更新，以便能够即时同步相关的邮件规则，同时也要员工小心防范几可乱真的诈骗信件。