破解商務電郵詐騙流程 擺脫威脅只在一念之間

許多人們對於電郵詐騙(Business Email Compromise；BEC)或其意義十分陌生，對防範美國境內外組織型犯罪的FBI而言，它已是短短18個月內成長13倍的可怕犯罪型態，據其網路犯罪通報中心(Internet Crime Complaint Center；IC3)公告之數據，此手法已在美國全境50州及全世界至少100個國家騙取累計超過31億美元、受理超過2萬個受害案件，2018年底更上看125億美元。

許多人對於BEC中的「Compromise」詞彙非常好奇，此也無非是現代資安攻防戰中最熱門的關鍵字之一；它並不是妥協的意思，而是指有心人，也就是駭客或騙徒，以特殊手段「獲取」原不屬於他們的東西，並藉此執行後續的惡意行動。像是「獲取」他人的帳號權限，甚至是重要主機的管理權限。而在BEC詐騙案件中，犯罪集團「獲取」的是各行各業商業往來的人員及交易資訊，並由電子郵件進一步聯繫受害者，藉由以假亂真的寄件人身份，搭配假造的匯款資訊，最後獲取不義之財。

從過去的金光黨以假金飾詐財，到現在演變到各種信件與電話詐騙，網路世界的詐騙也不斷變化，最終演化以企業目標的針對性手法詐騙交易。所幸，資訊應用技術皆有一定的邏輯，此類電郵詐騙手法也會有一定順序及滲入方式。

既然BEC得逞需有一定步驟，自然就有特定方法防範，更令人感到振奮的是這些方法多數都不是新技術，只要具有正確觀念、善加運用，就能以這幾年來發展的資安防護功能，提供企業不錯的防護。

從「風險管理」的角度來看，外部威脅發生時，若內部有弱點，造成的衝擊即是風險。電郵詐騙欲成功，其實需要一項以上的弱點被「Compromise」，而且最後匯款轉帳的行為發生，才能成功。當企業完善建置縱深防禦的多項保護措施時，便逐漸遠離了詐騙的陷阱，BEC成功的機率將隨著每道保護而大幅降低。

話雖如此，要貫串整個防禦行動，還是需要加強組織的資安意識，詐騙的對象最終還是人，因此良好的資安觀念，便可成為阻擋成功的關鍵一環。因此定期的教育訓練，建立符合組織的資安政策，便可大幅降低郵件詐騙的威脅，避免組織遭受不必要的損失。(本文由網擎資訊行銷副總李孟秋提供，魏于寧整理報導)