【2021资安大预测】趋势3：BEC诈骗｜商业电邮诈骗持续攀升，防不胜防

随着疫情的蔓延，居家办公变成常态，电子邮件是极为重要的沟通管道之一，骇客也盯上这样的情势，从中进行诈骗。在2020年被揭露的商业电子邮件诈骗（BEC）攻击事件中，不少骇客刻意采取几可乱真的手法，让收信者难以察觉异状而上当。

这种精心策画攻击策略，也导致一旦攻击成功，得手的利益相当可观，受害者察觉被骗往往为时已晚，金钱损失难以追回。回顾2020年，5月有数件此类诈骗事件被公布，包含了骇客冒名向台湾银行洛杉矶分行转账得逞，以及私募基金被骗的情况，然而直到受害者察觉不对劲并展开调查，钱已经被转走数星期甚至数个月。

针对BEC攻击的态势，邮件安全业者Abnormal Security，在2020年第3季的研究报告中指出，他们看到相关的攻击数量持续增加，比起同年第2季，第3季攻击事件增加15%。而且，该公司也提出警告，几乎是所有主要的产业，遭遇BEC诈骗的现象都有明显成长。

值得留意的是，纵观许多资安厂商的年度预测报告，鲜少特别呼吁大家要重视BEC诈骗攻击升温的趋势，但这种现象已有数家邮件安全业者提出警告，表示这种攻击极为难以发现，却接连在各行各业发生，对于这种可能被轻忽的现象，我们也认为大家需要关注。

攻击者对于受害组织交易模式掌握程度极高，操控邮件内容行骗

究竟这种诈骗手法造成的危害有多严重？根据FBI揭露的数据，他们在2019年获报近2.4万件BEC诈骗案件中，总共造成约17亿美元的损失。而在2020年4月下旬，台湾银行洛杉矶分行向金管会通报的诈骗案件，因该分行未确认汇款资料正确性就进行转账，结果被骗走45万美元，相当于新台币1,350万元。

不光是金融单位被当作下手目标，骇客也可能锁定有大量资金往来的组织。例如，2020年5月，Check Point揭露英国私募基金2019年遇害，被骗110万英镑；而这样的事件，甚至出现在-机关旗下的组织。隶属于挪威外交部的国家投资基金Norfund，他们于同月坦承遭到BEC诈骗，损失1千万美元。

但为何会上当？以上述的3起事件而言，台湾银行归咎是人为疏失，经手人员在确认客户的资料不够确实所致；不过，其余2起私募基金的部分，Check Point与Norfund则是透露较多发现，并且不约而同指出骇客的手法精细，对于受害组织的资金往来了若指掌，捏造收信人难以辨识的诈骗邮件，操弄邮件对话而得手。

这种攻击者已经摸清攻击目标底细，掌握邮件往来内容并进行操控的现象，将是企业在防范BEC电子邮件诈骗所需面临的挑战。

取得高阶主管电子邮件信箱门槛降低，且可能波及其他应用系统

我们可能会认为，骇客需要投资大量成本来取得情报，特别是掌控大型企业高阶主管的电子邮件账号，得花不少钱，然而，事实上，攻击者取得的代价并不高。

根据新闻网站ZDNet于11月的报导，有人在骇客论坛上销售高阶主管与财务人员的电子邮件账号，依据职等和公司规模，每个账号价码自100美元至1,500美元不等，换言之，最多不到新台币5万元的代价，就可以滥用大型企业的高阶主管身份，来向公司员工发号施令。

再者，企业其他的IT系统上，很可能也使用同样的电子邮件信箱名称，做为使用者账号，一旦电子邮件信箱遭骇，骇客可以借此触及其他系统。

以上述的事件而言，这名骇客宣称提供的是Office 365电子邮件账号，对于想要发动BEC诈骗攻击的骇客而言，他们不仅能借着购得的账号和密码假冒受害人身份，很有可能还会得到储存在SharePoint的机密文件，而得知更多可用于向受害企业攻击的资料，或是借着Teams即时通讯等方式，来向企业的其他员工行骗。

另外，在近期的BEC诈骗事件中，骇客也开始尝试利用较为特殊的手法，让受害企业更加难以发觉攻击行动踪迹。例如，FBI在2020年11月，表示在8月发现的2起攻击事件里，骇客为了暗中收集所需情资而不被发现，窜改网页信箱的自动转寄规则，转寄特定主旨的邮件给自己。由于受害企业监控相关规则的范围，只针对电脑版的收信软件，再加上收信软件与网页信箱的规则没有同步，这些企业并未发现骇客从中转寄信件的现象，结果其中一家医疗设备公司被骗走了175,000美元。